CRITICAL🇬🇧 English

CVE-2026-9152

Brak uwierzytelnienia w Altium 365 SearchService — dostęp między dzierżawcami

CVSS 10.0v4.0pub. 2026-05-21

W usłudze Altium 365 SearchService istnieje podatność braku uwierzytelnienia na starszym endpoincie SOAP, który udostępnia operacje na indeksie wyszukiwania bez jakiejkolwiek weryfikacji tożsamości. Nieuwierzytelniony atakujący sieciowy może przekraczać granice dzierżawców (tenant boundaries) i manipulować indeksem wyszukiwania dowolnego workspace'u.

Pokaż oryginał (EN)

A missing authentication vulnerability exists in the Altium 365 SearchService. A legacy SOAP endpoint exposes search index operations without requiring authentication, session tokens, or any form of identity verification. An unauthenticated network attacker who can reference a target workspace's identifier can interact with that workspace's search index, crossing tenant boundaries. Successful exploitation allows reading a workspace's indexed contents (such as component data, project and folder names, and user metadata) and injecting, modifying, or deleting search index entries. These operations affect the search index only, not the underlying vault data, but they can disclose sensitive workspace information and compromise the integrity and availability of search results. Altium 365 cloud deployments are affected; on-premise Altium Enterprise Server is not affected.

🤖 Analiza AI
Jak działa

Podatność wynika z obecności niechronionego endpointu SOAP (legacy), który nie wymaga uwierzytelnienia, tokenów sesji ani żadnej innej formy weryfikacji tożsamości (CWE-306). Atakujący, który zna lub odgadnie identyfikator docelowego workspace'u, może bezpośrednio wywołać operacje na indeksie wyszukiwania tego workspace'u — niezależnie od tego, do którego dzierżawcy należy (CWE-639: naruszenie kontroli dostępu opartej na referencji do obiektu). Operacje te obejmują odczyt, wstrzykiwanie, modyfikację oraz usuwanie wpisów w indeksie wyszukiwania.

Skutki

Atakujący może ujawnić wrażliwe dane workspace'u przechowywane w indeksie (takie jak dane komponentów, nazwy projektów i folderów oraz metadane użytkowników), a także naruszyć integralność i dostępność wyników wyszukiwania poprzez wstrzykiwanie, modyfikację lub usuwanie wpisów indeksu. Operacje te nie dotyczą bezpośrednio danych w magazynie (vault), jednak mogą poważnie zakłócić działanie środowiska projektowego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w komunikacie bezpieczeństwa Altium dostępnym pod adresem https://www.altium.com/platform/security-compliance/security-advisories. Ponieważ podatność dotyczy wyłącznie środowiska chmurowego Altium 365, poprawka powinna zostać wdrożona po stronie dostawcy usługi.

Kogo dotyczy

Wdrożenia chmurowe Altium 365 — nie dotyczy instalacji on-premise (Altium Enterprise Server).

Uwagi

Podatność dotyczy wyłącznie wdrożeń chmurowych Altium 365 — instalacje on-premise (Altium Enterprise Server) nie są podatne. CVE posiada identyfikator z roku 2026, a data publikacji to 2026-05-21.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje