CVE-2026-22093
Improper access control in Hashtopolis server chunk activity component
| CVE | CVE-2026-22093 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Title | Improper access control in Hashtopolis server chunk activity component | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Credits |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Affected products |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Problem type(s) | CWE-639 Authorization bypass through User-Controlled key | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Impact(s) | Any authenticated account on an affected Hashtopolis instance can read all cracked hashes stored on the server, regardless of assigned role or privilege level. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Date published | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Last modified | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Description
Improper access control in Hashtopolis server web-interface chunk activity component for versions prior to 0.14.8 allows any created account to read all cracked hashes of a Hashtopolis server instance.
JSON version.