CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-49587

Critical
Published: Translated: NVD NIST

Summary

Punkty końcowe usługi Glutton V1 były dostępne bez jakiejkolwiek autoryzacji w stosach Gotham, co mogło umożliwić użytkownikom bez odpowiednich uprawnień bezpośredni dostęp do backendu glutton i możliwość odczytu, aktualizacji lub usunięcia danych. Usługa została załatana i automatycznie wdrożona we wszystkich instancjach Gotham zarządzanych przez Apollo.

Risk Assessment

Brak autoryzacji na punktach końcowych usługi stwarzał poważne ryzyko dla integralności danych oraz bezpieczeństwa systemu, umożliwiając nieautoryzowanym użytkownikom manipulację danymi.

Recommendation

Zaleca się przeprowadzenie audytu bezpieczeństwa oraz wdrożenie dodatkowych mechanizmów autoryzacji dla wszystkich punktów końcowych usług, aby zapobiec podobnym incydentom w przyszłości.

Original NVD description (English source)

Glutton V1 service endpoints were exposed without any authentication on Gotham stacks, this could have allowed users that did not have any permission to hit glutton backend directly and read/update/delete data. The affected service has been patched and automatically deployed to all Apollo-managed Gotham Instances

Vulnerability data from NVD (NIST) · CISA KEV · EPSS