CVE-2026-4982

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

27/03/2026

Última modificación:

30/03/2026

Descripción

*** Pendiente de traducción *** A user with permission "update world" in any Venueless world is able to exfiltrate chat messages from direct messages or channels in other worlds on the same server due to a bug in the reporting feature.<br /> <br /> The exploitability is limited by the fact that the attacker needs to know the internal channel UUID of the chat channel, which is unlikely to be obtained by an outside attacker, especially for direct messages.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

7.30

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/venueless/venueless/security/advisories/GHSA-6fq7-pgj3-6cfp