Katalog CVE

CVE-2026-11752

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Zidentyfikowano podatność w wersjach 1.38.0 do 1.39.0 armeria-xds, gdzie DataSourceStream w module xDS może bez ograniczeń rozwiązywać nazwy plików i zmienne środowiskowe dostarczane przez kontroler xDS.

Ocena ryzyka

Zagrożenie polega na tym, że skompromitowany lub półufny kontroler xDS może uzyskać dostęp do dowolnych lokalnych plików i zmiennych środowiskowych na hoście klienta xDS, co może prowadzić do ujawnienia wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji armeria-xds, aby zniwelować ryzyko związane z tą podatnością oraz ograniczenie dostępu do kontrolera xDS tylko dla zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been identified in armeria-xds versions 1.38.0 through 1.39.0, where DataSourceStream in the xDS module can resolve control-plane-supplied filenames and environment variables without restriction, allowing a compromised or semi-trusted xDS control plane to read arbitrary local files and environment variables on the xDS client host.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS