CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-22207

Critical
Published: Translated: NVD NIST

Summary

OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.

Risk Assessment

Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do krytycznych funkcji systemowych bez autoryzacji. Może to prowadzić do nieautoryzowanych zmian w systemie oraz wycieku danych.

Recommendation

Zaleca się natychmiastowe wprowadzenie konfiguracji root_api_key oraz aktualizację OpenViking do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

OpenViking through version 0.1.18, prior to commit 0251c70, contains a broken access control vulnerability that allows unauthenticated attackers to gain ROOT privileges when the root_api_key configuration is omitted. Attackers can send requests to protected endpoints without authentication headers to access administrative functions including account management, resource operations, and system configuration.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS