V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Vexa

Уязвимости
2
Эксплуатируемые
0
Критический
0
Высокий
1

Топ продуктов

Топ уязвимостей

CVE-2026-25058Vexa - это самостоятельный API с открытым исходным кодом и API транскрипции встреч с открытым исходным кодом. До пункта 0.10.0-260419-1910 служба транскрипции-коллекционера Vexa выставляет внутреннюю конечную точку `GET /ternnal/transcripts/{meeting_id}`, которая возвращает транскриптовые данные для любой встречи без проверки подлинности или авторизации. Неаутентифицированный злоумышленник может перечислять все идентификаторы встреч, получать доступ к стенограммам встреч любого пользователя без учетных данных и красть конфиденциальные деловые разговоры, пароли и/или PII. Версия 0.10.0-260419-1910 латирует проблему.
CVE-2026-25883Vexa - это самостоятельная конференц-аппаратная бот-и API с открытым исходным кодом и API транскрипции встреч. До 0,10-260419-1910 функция вебкрюк Vexa позволяет аутентифицированным пользователям настраивать произвольный URL-адрес, который получает HTTP-запросы при завершении встреч. Приложение не выполняет проверки на URL-адресе Webhook, что позволяет подделывать запрос на сервер (SSRF). Аутентифицированный злоумышленник может установить свой URL-адрес веб-хука для таргетинга внутренних служб (Redis, базы данных, админ-панели), конечных точек облачных метаданных (AWS/GCP) и/или служб локальной хостинговой помощи. Версия 0.10.0-260419-1910 латирует проблему.
Открыть в каталоге с фильтром по вендору →