Katalog CVE

CVE-2026-31216

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Usługa backendowa nexent w wersji 1.7.5.2 zawiera podatność na nieautoryzowane usuwanie plików w API zarządzania plikami. Punkt końcowy DELETE /storage/{object_name:path} nie posiada mechanizmów uwierzytelniania, autoryzacji ani walidacji danych wejściowych.

Ocena ryzyka

Nieautoryzowani zdalni atakujący mogą wysyłać spreparowane żądania, co prowadzi do utraty danych oraz odmowy usługi. To może poważnie wpłynąć na integralność i dostępność systemu.

Rekomendacja

Zaleca się wdrożenie mechanizmów uwierzytelniania i autoryzacji dla punktu końcowego DELETE /storage oraz wprowadzenie walidacji danych wejściowych, aby zapobiec nieautoryzowanemu dostępowi.

Oryginalny opis (angielski, źródło NVD)

The nexent v1.7.5.2 backend service contains an unauthorized arbitrary storage file deletion vulnerability in its file management API. The DELETE /storage/{object_name:path} endpoint lacks authentication, authorization, and input validation mechanisms. Unauthenticated remote attackers can send crafted requests with a user-controlled object_name path parameter to delete arbitrary files from the underlying MinIO storage system. Successful exploitation leads to data loss and denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS