CVE-2026-30859

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-30859
WeKnora is an LLM-powered framework designed for deep document understanding and semantic retrieval. Prior to version 0.2.12, a broken access control vulnerability in the database query tool allows any authenticated tenant to read sensitive data belonging to other tenants, including API keys, model configurations, and private messages. The application fails to enforce tenant isolation on critical tables (models, messages, embeddings), enabling unauthorized cross-tenant data access with user-level authentication privileges. This issue has been patched in version 0.2.12.

5.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/Tencent/WeKnora/security/advisories/GHSA-2f4c-vrjq-rcgv Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:tencent:weknora:*:*:*:*:*:*:*:*
History

09 Mar 2026, 17:35

Type Values Removed Values Added
First Time Tencent weknora
Tencent
CPE cpe:2.3:a:tencent:weknora:*:*:*:*:*:*:*:*
References () https://github.com/Tencent/WeKnora/security/advisories/GHSA-2f4c-vrjq-rcgv - () https://github.com/Tencent/WeKnora/security/advisories/GHSA-2f4c-vrjq-rcgv - Vendor Advisory
Summary
  • (es) WeKnora es un framework impulsado por LLM diseñado para la comprensión profunda de documentos y la recuperación semántica. Antes de la versión 0.2.12, una vulnerabilidad de control de acceso roto en la herramienta de consulta de la base de datos permite a cualquier inquilino autenticado leer datos sensibles pertenecientes a otros inquilinos, incluyendo claves de API, configuraciones de modelos y mensajes privados. La aplicación no logra aplicar el aislamiento de inquilinos en tablas críticas (modelos, mensajes, embeddings), lo que permite el acceso no autorizado a datos entre inquilinos con privilegios de autenticación a nivel de usuario. Este problema ha sido parcheado en la versión 0.2.12.

07 Mar 2026, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-07 17:15

Updated : 2026-03-09 17:35

NVD link : CVE-2026-30859

Mitre link : CVE-2026-30859

CVE.ORG link : CVE-2026-30859

JSON object : View

Products Affected

tencent

  • weknora
CWE
CWE-284

Improper Access Control