CVE-2025-57266
CriticalSummary
W frameworku ThriveX Blogging w wersjach od 2.5.9 do 3.1.3 odkryto problem w pliku AssistantController.java, który pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych informacji, takich jak klucze API, poprzez punkt końcowy /api/assistant/list.
Risk Assessment
Organizacja może być narażona na wyciek wrażliwych danych, co może prowadzić do nieautoryzowanego dostępu do systemów i zasobów. Ujawnienie kluczy API może skutkować dalszymi atakami na inne usługi.
Recommendation
Zaleca się aktualizację frameworka ThriveX Blogging do najnowszej wersji oraz zabezpieczenie punktu końcowego /api/assistant/list przed dostępem nieautoryzowanych użytkowników.
Original NVD description (English source)
An issue was discovered in file AssistantController.java in ThriveX Blogging Framework 2.5.9 thru 3.1.3 allowing unauthenticated attackers to gain sensitive information such as API Keys via the /api/assistant/list endpoint.

