CVE-2026-23638

Kiteworks Secure Data Forms is vulnerable to Authorization Bypass Through User-Controlled Key

CVSS 6.5 MEDIUMEPSS 0.2%CWE-639

Em resumo

O Kiteworks Secure Data Forms possui uma falha que permite usuários logados modificarem configurações e fluxos de aprovação de formulários de outros usuários, porque o sistema não verifica adequadamente a propriedade de cada formulário. Isso permite que atacantes contornem controles de acesso e interfiram nos processos de negócio alheios.

Detalhe técnico

Uma vulnerabilidade de IDOR existe no Kiteworks Secure Data Forms (anterior à versão 9.3.0) onde usuários autenticados podem alterar configurações de fluxo de aprovação de formulários pertencentes a outros usuários devido a verificações de autorização insuficientes sobre propriedade de recursos. O vetor de ataque é baseado em rede e requer autenticação prévia; o impacto inclui modificação não autorizada de fluxos de trabalho e processos de aprovação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Kiteworks is a private data network (PDN). Prior to version 9.3.0, an Insecure Direct Object Reference (IDOR) vulnerability in Kiteworks Secure Data Forms allows an authenticated attacker to tamper with the internal approval flow configurations of forms belonging to other users due to insufficient authorization checks on resource ownership. Upgrade Kiteworks to version 9.3.0 or later to receive a patch.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Produtos afetados

kiteworks · Secure Data Forms

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-8wmh-mg2h-hf46