CollabPlatform - CVE-2026-27579

Date de publication :

CollabPlatform est une plateforme full-stack de collaboration documentaire en temps réel.

Une vulnérabilité dans CollabPlatform, liée à une mauvaise configuration CORS du projet Appwrite utilisé par l’application. 

Le service renvoie des réponses CORS autorisant des origines arbitraires tout en permettant des requêtes avec identifiants (requêtes “credentialed”, donc avec cookies/session). Un domaine contrôlé par un attaquant peut alors déclencher, depuis le navigateur, des requêtes cross-origin authentifiées vers l’API de compte (ex. endpoint /v1/account) et lire la réponse contenant des informations sensibles du compte (dont adresse email, identifiants de compte, statut MFA), dès lors que la victime est connectée et visite un site malveillant. Le scénario nécessite une interaction utilisateur (visite de la page de l’attaquant) et repose sur la combinaison dangereuse “autorisation d’origine non restreinte” + “envoi de credentials”. 

Elle permet une atteinte à la confidentialité des données.

CVE-2026-27579

[Score CVSS v3.1 : 7.4]

Informations

La faille est activement exploitée : Non

Un correctif existe : Non

Une mesure de contournement existe : Oui

Exploitation

La vulnérabilité exploitée est du type
CWE-346 : Origin Validation Error

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Contournement provisoire

Restreindre les origines web autorisées (suppression des entrées trop larges / wildcards) dans la configuration Appwrite du projet, et éviter toute réflexion dynamique d’Origin et l’usage de credentials avec des origines non strictement listées (recommandations de correction).

Liens