Katalog CVE

CVE-2026-45248

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Hedera Guardian do wersji 3.5.1 zawiera podatność umożliwiającą ominięcie uwierzytelniania w punkcie końcowym GET /api/v1/demo/registered-users. Nieuwierzytelnieni atakujący mogą uzyskać wrażliwe informacje o użytkownikach, takie jak nazwy użytkowników, identyfikatory DID, role systemowe i przypisania polityk.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym ujawnieniu danych wszystkich zarejestrowanych użytkowników, co może prowadzić do naruszenia prywatności, kradzieży tożsamości lub dalszych ataków na system.

Rekomendacja

Należy natychmiast zaktualizować Hedera Guardian do wersji nowszej niż 3.5.1 lub zastosować tymczasowe zabezpieczenie, takie jak ograniczenie dostępu do punktu końcowego /api/v1/demo/registered-users tylko dla uwierzytelnionych administratorów.

Oryginalny opis (angielski, źródło NVD)

Hedera Guardian through 3.5.1 contains an authentication bypass vulnerability in the GET /api/v1/demo/registered-users endpoint that allows unauthenticated attackers to retrieve sensitive user information. Attackers can access the endpoint without providing authentication credentials to obtain usernames, Hedera DIDs, parent registry DIDs, system roles, and policy role assignments for all registered users in the system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS