← voltar
CVE-2026-42098

Authorization Bypass in Sparx Enterprise Architect

CVSS 8.7 HIGHEPSS 0.4%CWE-603
Em resumo

O Sparx Enterprise Architect possui uma falha que permite a um atacante autenticado contornar as restrições de função de usuário modificando o aplicativo cliente, possibilitando acesso como qualquer usuário—inclusive administradores—e fazer mudanças não autorizadas no repositório.

Detalhe técnico

CWE-603 bypass de autorização no Sparx Enterprise Architect permite que um atacante autenticado contorne controles de acesso baseados em funções manipulando o comportamento do lado cliente (por exemplo, via depurador), possibilitando representação de usuários arbitrários e modificação completa do repositório. Pré-condição: credenciais válidas de autenticação; impacto: perda total da aplicação de controle de acesso em todas as operações do repositório. Confirmado na versão 17.1 e inferiores; outras versões não testadas.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Sparx Enterprise Architect software has a security feature that limits user's actions to those specified in the role. An authenticated attacker can modify the Enterprise Architect client behavior (e.g. using a debugger) and log in as any other user or administrator - then it is possible to do every possible change to the repository. The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only version 17.1 and below were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Sparx Systems · Enterprise Architect

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cert.pl/en/posts/2026/05/CVE-2026-42096https://efigo.pl/blog/CVE-2026-42096/https://sparxsystems.com/products/ea/https://sploit.tech/2026/05/19/Sparx-Enterprise-Architect-PCS.html