Katalog CVE

CVE-2025-57266

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W frameworku ThriveX Blogging w wersjach od 2.5.9 do 3.1.3 odkryto problem w pliku AssistantController.java, który pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych informacji, takich jak klucze API, poprzez punkt końcowy /api/assistant/list.

Ocena ryzyka

Organizacja może być narażona na wyciek wrażliwych danych, co może prowadzić do nieautoryzowanego dostępu do systemów i zasobów. Ujawnienie kluczy API może skutkować dalszymi atakami na inne usługi.

Rekomendacja

Zaleca się aktualizację frameworka ThriveX Blogging do najnowszej wersji oraz zabezpieczenie punktu końcowego /api/assistant/list przed dostępem nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in file AssistantController.java in ThriveX Blogging Framework 2.5.9 thru 3.1.3 allowing unauthenticated attackers to gain sensitive information such as API Keys via the /api/assistant/list endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS