Katalog CVE

CVE-2024-49587

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Punkty końcowe usługi Glutton V1 były dostępne bez jakiejkolwiek autoryzacji w stosach Gotham, co mogło umożliwić użytkownikom bez odpowiednich uprawnień bezpośredni dostęp do backendu glutton i możliwość odczytu, aktualizacji lub usunięcia danych. Usługa została załatana i automatycznie wdrożona we wszystkich instancjach Gotham zarządzanych przez Apollo.

Ocena ryzyka

Brak autoryzacji na punktach końcowych usługi stwarzał poważne ryzyko dla integralności danych oraz bezpieczeństwa systemu, umożliwiając nieautoryzowanym użytkownikom manipulację danymi.

Rekomendacja

Zaleca się przeprowadzenie audytu bezpieczeństwa oraz wdrożenie dodatkowych mechanizmów autoryzacji dla wszystkich punktów końcowych usług, aby zapobiec podobnym incydentom w przyszłości.

Oryginalny opis (angielski, źródło NVD)

Glutton V1 service endpoints were exposed without any authentication on Gotham stacks, this could have allowed users that did not have any permission to hit glutton backend directly and read/update/delete data. The affected service has been patched and automatically deployed to all Apollo-managed Gotham Instances

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS