CVE-2026-13533
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W Cockpit CMS do wersji 0.12.2 wykryto podatność w funkcji Spyc::YAMLLoad pliku /config/config.yaml komponentu htaccess Handler. Manipulacja ta prowadzi do nieautoryzowanego dostępu do plików lub katalogów. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
Ocena ryzyka
Organizacja narażona jest na zdalny dostęp do wrażliwych plików konfiguracyjnych i danych, co może prowadzić do wycieku informacji lub dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zmienić ustawienia konfiguracyjne Cockpit CMS oraz rozważyć aktualizację do nowszej wersji, jeśli dostępna. Ze względu na brak odpowiedzi od producenta, zaleca się tymczasowe wyłączenie lub zabezpieczenie komponentu htaccess Handler.
Oryginalny opis (angielski, źródło NVD)
A security vulnerability has been detected in agentejo Cockpit CMS up to 0.12.2. Affected by this issue is the function Spyc::YAMLLoad of the file /config/config.yaml of the component htaccess Handler. Such manipulation leads to files or directories accessible. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used. Configuration settings should be changed. The vendor was contacted early about this disclosure but did not respond in any way.

