CVE-2026-45577
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 - wyżej niż 16% wszystkich znanych CVE
Streszczenie
Neotoma w wersjach od 0.6.0 do przed 0.11.1 może traktować publiczne żądania z reverse proxy jako lokalne, gdy są odbierane przez gniazdo loopback i nie ma obecnego tokena Bearer. W dotkniętych wdrożeniach middleware autoryzacji REST może rozwiązywać nieautoryzowane żądania jako lokalnego użytkownika deweloperskiego.
Ocena ryzyka
W wyniku tej podatności, zdalne interfejsy API mogą być dostępne bez uwierzytelnienia, co stwarza ryzyko nieautoryzowanego dostępu do zasobów aplikacji. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do uzyskania dostępu do wrażliwych danych.
Rekomendacja
Zaleca się aktualizację Neotoma do wersji 0.11.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji, aby upewnić się, że nieautoryzowane żądania są odpowiednio blokowane.
Oryginalny opis (angielski, źródło NVD)
Neotoma provides versioned records that persist across agent runs. From 0.6.0 to before 0.11.1, Neotoma can treat public reverse-proxied requests as local when the app receives them over a loopback socket and no Bearer token is present. In affected deployments, the REST auth middleware can resolve unauthenticated requests as the local development user, making the hosted Inspector and related API surface reachable without credentials. This vulnerability is fixed in 0.11.1.

