CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26190

Critical
Published: Translated: NVD NIST

Summary

Milvus to otwartoźródłowa baza danych wektorowych stworzona dla aplikacji generatywnej AI. W wersjach przed 2.5.27 i 2.6.10, Milvus domyślnie otwiera port TCP 9091, co umożliwia obejście uwierzytelniania oraz wykorzystanie słabego, przewidywalnego tokena uwierzytelniającego, co pozwala na dowolną ewaluację wyrażeń.

Risk Assessment

Brak uwierzytelnienia na pełnym API REST oraz dostęp do operacji biznesowych, w tym manipulacji danymi i zarządzania poświadczeniami, stwarza poważne ryzyko dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 2.5.27 lub 2.6.10, aby usunąć tę podatność oraz zabezpieczyć dostęp do portów i API przed nieautoryzowanym dostępem.

Original NVD description (English source)

Milvus is an open-source vector database built for generative AI applications. Prior to 2.5.27 and 2.6.10, Milvus exposes TCP port 9091 by default, which enables authentication bypasses. The /expr debug endpoint uses a weak, predictable default authentication token derived from etcd.rootPath (default: by-dev), enabling arbitrary expression evaluation. The full REST API (/api/v1/*) is registered on the metrics/management port without any authentication, allowing unauthenticated access to all business operations including data manipulation and credential management. This vulnerability is fixed in 2.5.27 and 2.6.10.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS