CVE-2026-11746
KrytyczneCVSS 9.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Wykryto podatność w wersjach centraldogma-server przed 0.84.0, gdzie włączenie replikacji ZooKeeper bez ustawienia replication.secret powoduje, że serwer cicho przechodzi do użycia wbudowanego, publicznie znanego sekretu. Ten domyślny identyfikator uwierzytelnia wbudowany zespół ZooKeeper.
Ocena ryzyka
Atakujący z dostępem do sieci może odczytać pełny dziennik replikacji lub dołączyć do kworum, co pozwala na wykonywanie dowolnych poleceń replikowanych w klastrze. To stwarza poważne zagrożenie dla integralności i poufności danych.
Rekomendacja
Zaleca się aktualizację do wersji centraldogma-server 0.84.0 lub nowszej oraz skonfigurowanie replication.secret, aby uniknąć użycia domyślnego sekretu.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been identified in centraldogma-server versions prior to 0.84.0, where enabling ZooKeeper replication without setting replication.secret causes the server to silently fall back to a hard-coded, publicly known secret. This default credential authenticates the embedded ZooKeeper ensemble, allowing an attacker with network access to read the full replication log or join the quorum and execute arbitrary replicated commands across the cluster.

