CVE-2026-45577
MediumCVSS 6.9Exploitation Probability (EPSS)
Low risk16th percentile - higher than 16% of all known CVEs
Summary
Neotoma w wersjach od 0.6.0 do przed 0.11.1 może traktować publiczne żądania z reverse proxy jako lokalne, gdy są odbierane przez gniazdo loopback i nie ma obecnego tokena Bearer. W dotkniętych wdrożeniach middleware autoryzacji REST może rozwiązywać nieautoryzowane żądania jako lokalnego użytkownika deweloperskiego.
Risk Assessment
W wyniku tej podatności, zdalne interfejsy API mogą być dostępne bez uwierzytelnienia, co stwarza ryzyko nieautoryzowanego dostępu do zasobów aplikacji. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do uzyskania dostępu do wrażliwych danych.
Recommendation
Zaleca się aktualizację Neotoma do wersji 0.11.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji, aby upewnić się, że nieautoryzowane żądania są odpowiednio blokowane.
Original NVD description (English source)
Neotoma provides versioned records that persist across agent runs. From 0.6.0 to before 0.11.1, Neotoma can treat public reverse-proxied requests as local when the app receives them over a loopback socket and no Bearer token is present. In affected deployments, the REST auth middleware can resolve unauthenticated requests as the local development user, making the hosted Inspector and related API surface reachable without credentials. This vulnerability is fixed in 0.11.1.

