CVE-2026-32097

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-32097
PingPong is a platform for using large language models (LLMs) for teaching and learning. Prior to 7.27.2, an authenticated user may be able to retrieve or delete files outside the intended authorization scope. This issue could result in retrieval or deletion of private files, including user-uploaded files and model-generated output files. Exploitation required authentication and permission to view at least one thread for retrieval, and authentication and permission to participate in at least one thread for deletion. This vulnerability is fixed in 7.27.2.

8.8 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/comppolicylab/pingpong/security/advisories/GHSA-4wwr-5wq7-mgm4 Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:harvard:pingpong:*:*:*:*:*:*:*:*
History

16 Mar 2026, 16:48

Type Values Removed Values Added
Summary
  • (es) PingPong es una plataforma para usar modelos de lenguaje grandes (LLM) para la enseñanza y el aprendizaje. Antes de la versión 7.27.2, un usuario autenticado podría recuperar o eliminar archivos fuera del alcance de autorización previsto. Este problema podría resultar en la recuperación o eliminación de archivos privados, incluyendo archivos subidos por el usuario y archivos de salida generados por el modelo. La explotación requería autenticación y permiso para ver al menos un hilo para la recuperación, y autenticación y permiso para participar en al menos un hilo para la eliminación. Esta vulnerabilidad está corregida en la versión 7.27.2.
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 8.8
References () https://github.com/comppolicylab/pingpong/security/advisories/GHSA-4wwr-5wq7-mgm4 - () https://github.com/comppolicylab/pingpong/security/advisories/GHSA-4wwr-5wq7-mgm4 - Vendor Advisory
CPE cpe:2.3:a:harvard:pingpong:*:*:*:*:*:*:*:*
First Time Harvard
Harvard pingpong

11 Mar 2026, 20:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-11 20:16

Updated : 2026-03-16 16:48

NVD link : CVE-2026-32097

Mitre link : CVE-2026-32097

CVE.ORG link : CVE-2026-32097

JSON object : View

Products Affected

harvard

  • pingpong
CWE
CWE-639

Authorization Bypass Through User-Controlled Key