Omisión de autorización en el chat Q&A de ON24
El chat Q&A de ON24.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta al chat Q&A de ON24, una plataforma de interacción. La vulnerabilidad ha sido descubierta por Samuel de Lucas Maroto.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-3321: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N | CWE-639
No hay solución reportada por el momento.
CVE-2026-3321: vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en el endpoint 'console-survey/api/v1/answer/{EVENTID}/{TIMESTAMP}/'. La explotación de esta vulnerabilidad podría permitir a un atacante no autenticado enumerar los ID de eventos y obtener el historial completo de preguntas y respuestas. Estos datos expuestos públicamente pueden incluir ID, URL privadas, mensajes privados, referencias internas u otra información confidencial que solo debería estar expuesta a usuarios autenticados. Además, el contenido filtrado podría explotarse para facilitar otras actividades maliciosas, como el reconocimiento para el movimiento lateral, la explotación de sistemas relacionados o el acceso no autorizado a aplicaciones internas a las que se hace referencia en el contenido de los mensajes de chat.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-3321 | Alta | No | On24 |
