Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Omisión de autorización en el chat Q&A de ON24

In Noticias y Avisos CiberseguridadPosted

Omisión de autorización en el chat Q&A de ON24

Aviso
Recursos Afectados

El chat Q&A de ON24.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta al chat Q&A de ON24, una plataforma de interacción. La vulnerabilidad ha sido descubierta por Samuel de Lucas Maroto.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-3321: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N | CWE-639
Identificador
INCIBE-2026-242

Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-3321: vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en el endpoint ‘console-survey/api/v1/answer/{EVENTID}/{TIMESTAMP}/‘. La explotación de esta vulnerabilidad podría permitir a un atacante no autenticado enumerar los ID de eventos y obtener el historial completo de preguntas y respuestas. Estos datos expuestos públicamente pueden incluir ID, URL privadas, mensajes privados, referencias internas u otra información confidencial que solo debería estar expuesta a usuarios autenticados. Además, el contenido filtrado podría explotarse para facilitar otras actividades maliciosas, como el reconocimiento para el movimiento lateral, la explotación de sistemas relacionados o el acceso no autorizado a aplicaciones internas a las que se hace referencia en el contenido de los mensajes de chat.

4 – Alta
Listado de referencias
Página web de ON24

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-3321 Alta No On24

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.