CVE-2026-11752
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Zidentyfikowano podatność w wersjach 1.38.0 do 1.39.0 armeria-xds, gdzie DataSourceStream w module xDS może bez ograniczeń rozwiązywać nazwy plików i zmienne środowiskowe dostarczane przez kontroler xDS.
Ocena ryzyka
Zagrożenie polega na tym, że skompromitowany lub półufny kontroler xDS może uzyskać dostęp do dowolnych lokalnych plików i zmiennych środowiskowych na hoście klienta xDS, co może prowadzić do ujawnienia wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji armeria-xds, aby zniwelować ryzyko związane z tą podatnością oraz ograniczenie dostępu do kontrolera xDS tylko dla zaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been identified in armeria-xds versions 1.38.0 through 1.39.0, where DataSourceStream in the xDS module can resolve control-plane-supplied filenames and environment variables without restriction, allowing a compromised or semi-trusted xDS control plane to read arbitrary local files and environment variables on the xDS client host.

