CVE-2026-13512
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
W Databend do wersji 1.2.881 na HTTP wykryto podatność w komponencie Tenant Handler. Funkcja ClientSessionManager::state_key w pliku client_session_manager.rs umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do zasobów i danych w systemie Databend, co może prowadzić do naruszenia poufności i integralności danych.
Rekomendacja
Należy natychmiast zastosować dostępną poprawkę lub zaktualizować Databend do wersji nowszej niż 1.2.881. Do czasu wdrożenia poprawki ograniczyć dostęp do interfejsu HTTP.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was identified in Databend up to 1.2.881 on HTTP. This affects the function ClientSessionManager::state_key of the file src/query/service/src/servers/http/v1/session/client_session_manager.rs of the component Tenant Handler. The manipulation leads to authorization bypass. It is possible to initiate the attack remotely. The exploit is publicly available and might be used. The pull request to fix this issue awaits acceptance.

