← voltar
CVE-2026-58448

yudao-cloud < 2026.06 - BPM Module Broken Access Control via process-instance API

CVSS 7.1 HIGHEPSS 0.2%CWE-862
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 7.1EPSS 0.2%KEV nãoPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
30 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
yudao-cloud before 2026.06 contains a broken access control vulnerability in the BPM module that allows any authenticated user to access arbitrary process instance records by supplying a caller-controlled process-instance identifier to an unprotected endpoint lacking the @PreAuthorize annotation. Attackers can query any process-instance identifier through the unguarded GET endpoint to read sensitive workflow data including submitted form variables, approver identities, approval and rejection comments, and process BPMN XML without ownership or tenant party verification.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Produtos afetados
YunaiV · yudao-cloud
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →