CVE-2026-25555
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
OpenBullet2 w wersji do 0.3.2 zawiera lukę w zabezpieczeniach, która pozwala na ominięcie uwierzytelniania w middleware autoryzacji klucza API. Atakujący mogą uzyskać dostęp do konsoli administracyjnej, dostarczając pustą wartość nagłówka X-Api-Key.
Ocena ryzyka
Luka ta umożliwia nieautoryzowanym atakującym dostęp do wszystkich punktów końcowych API oraz konsoli administracyjnej, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację OpenBullet2 do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, aby uniemożliwić dostęp bez ważnych poświadczeń.
Oryginalny opis (angielski, źródło NVD)
OpenBullet2 through version 0.3.2 contains an authentication bypass vulnerability in the API key authentication middleware that allows unauthenticated attackers to gain admin access by supplying an empty X-Api-Key header value. Attackers can exploit the middleware's comparison of the supplied header against an empty AdminApiKey default string to access the admin console and all API endpoints without valid credentials.

