Katalog CVE

CVE-2026-22207

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do krytycznych funkcji systemowych bez autoryzacji. Może to prowadzić do nieautoryzowanych zmian w systemie oraz wycieku danych.

Rekomendacja

Zaleca się natychmiastowe wprowadzenie konfiguracji root_api_key oraz aktualizację OpenViking do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

OpenViking through version 0.1.18, prior to commit 0251c70, contains a broken access control vulnerability that allows unauthenticated attackers to gain ROOT privileges when the root_api_key configuration is omitted. Attackers can send requests to protected endpoints without authentication headers to access administrative functions including account management, resource operations, and system configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS