CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-40964

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

Podatność CVE-2026-40964 dotyczy obejścia uwierzytelniania w cf-auth-proxy w Cloud Foundry Foundation, co pozwala nieautoryzowanemu atakującemu na uzyskanie dostępu do logów i metryk wszystkich aplikacji oraz komponentów platformy poprzez wygenerowanie JWT, który jest akceptowany jako ważny token logs.admin.

Risk Assessment

Organizacje mogą być narażone na ujawnienie wrażliwych informacji, co może prowadzić do dalszych ataków lub naruszenia prywatności danych. Potencjalne konsekwencje obejmują utratę zaufania użytkowników oraz problemy z zgodnością z regulacjami dotyczącymi ochrony danych.

Recommendation

Zaleca się aktualizację do wersji log-cache_release v3.2.7 lub nowszej oraz CF Deployment v55.?.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt dostępu do logów i metryk w celu zminimalizowania ryzyka.

Original NVD description (English source)

Authentication Bypass in cf-auth-proxy in Cloud Foundry Foundation all installations allows an unauthenticated remote attacker to gain read access to every log and metric for every application and platform component via minting a JWT that the cf-auth-proxy accepts as a valid logs.admin token. Affected versions: - log-cache_release: all versions through v3.2.6 (inclusive); fixed in v3.2.7 or later - CF Deployment: all versions through v55.?.0 (inclusive); fixed in v55.?.0 or later (bundles log-cache_release v3.2.7)

Vulnerability data from NVD (NIST) · CISA KEV · EPSS