Vulnerabilidad en Secure-upload (CVE-2025-53709)

Secure-upload es un servicio de envío de datos que valida tokens de un solo uso al aceptar envíos a canales. El servicio solo se instaló en un número reducido de entornos. En circunstancias específicas, usuarios privilegiados de secure-upload podrían haber seleccionado plantillas de correo electrónico no necesariamente creadas para su inscripción al enviar solicitudes de carga de datos. Usuarios autenticados y privilegiados de una inscripción podrían haber utilizado incorrectamente un endpoint para redirigir los canales de envío existentes a un conjunto de datos que controlan. Un endpoint que gestionaba la validación del dominio permitía a usuarios no autenticados enumerar las inscripciones existentes. Finalmente, otros endpoints permitían enumerar si un recurso con un RID conocido existía en las inscripciones. El servicio afectado se ha actualizado con la versión 0.815.0 y se ha implementado automáticamente en todas las instancias de Foundry administradas por Apollo.