CVE-2026-40601

Descripción de la Vulnerabilidad

Chartbrew es una aplicación web de código abierto que permite conectar directamente a bases de datos y APIs para generar gráficos. En la versión 4.9.0, el endpoint /api/chart/:chart_id/query expone un método POST sin autenticación. Este endpoint solo verifica la configuración team.allowReportRefresh, pero no confirma que el gráfico pertenezca a un informe público, que el proyecto sea público o que la política de compartición permita la operación. Un atacante no autenticado que conozca un identificador de gráfico puede desencadenar una actualización de datos, lo que podría llevar a la exposición de información sensible.

Sistemas Afectados

La vulnerabilidad afecta a Chartbrew en su versión 4.9.0. Usuarios que estén utilizando esta versión y dependan de funcionalidades de generación de gráficos basadas en datos externos están expuestos al riesgo.

Impacto y Explotabilidad

La vulnerabilidad tiene un impacto moderado debido a la posibilidad de exposición de datos sensibles. El CVSS 7.5 indica que el ataque es fácil de explotar, ya que no requiere credenciales. Un atacante podría acceder a información confidencial almacenada en bases de datos o APIs conectadas a Chartbrew, especialmente si los gráficos albergan datos críticos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Se recomienda actualizar Chartbrew a una versión posterior a 4.9.0 para corregir la vulnerabilidad. Hasta el momento, no existen parches oficiales públicos específicos para esta brecha. Los administradores deben revisar las configuraciones de seguridad y validar que los endpoints críticos requieran autenticación antes de su uso.