Katalog CVE

CVE-2026-25555

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

OpenBullet2 w wersji do 0.3.2 zawiera lukę w zabezpieczeniach, która pozwala na ominięcie uwierzytelniania w middleware autoryzacji klucza API. Atakujący mogą uzyskać dostęp do konsoli administracyjnej, dostarczając pustą wartość nagłówka X-Api-Key.

Ocena ryzyka

Luka ta umożliwia nieautoryzowanym atakującym dostęp do wszystkich punktów końcowych API oraz konsoli administracyjnej, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację OpenBullet2 do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, aby uniemożliwić dostęp bez ważnych poświadczeń.

Oryginalny opis (angielski, źródło NVD)

OpenBullet2 through version 0.3.2 contains an authentication bypass vulnerability in the API key authentication middleware that allows unauthenticated attackers to gain admin access by supplying an empty X-Api-Key header value. Attackers can exploit the middleware's comparison of the supplied header against an empty AdminApiKey default string to access the admin console and all API endpoints without valid credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS