CVE-2026-50201
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Steeltoe przed wersją 4.2.0 i Steeltoe.Management.EndpointCore przed wersją 3.4.0 mają domyślnie ustawione wszystkie punkty końcowe aktorów na `EndpointPermissions.Restricted`, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych. Wrażliwe punkty końcowe, takie jak zrzut sterty, środowisko i zrzut wątków, nie są odpowiednio zabezpieczone.
Ocena ryzyka
Organizacje mogą być narażone na wyciek wrażliwych danych, ponieważ punkty końcowe nie wymagają pełnych uprawnień do odczytu wrażliwych danych. To może prowadzić do naruszenia prywatności i bezpieczeństwa aplikacji.
Rekomendacja
Zaleca się aktualizację do Steeltoe.Management.Endpoint 4.2.0 lub Steeltoe.Management.EndpointCore 3.4.0. Jeśli aktualizacja nie jest możliwa, należy ustawić `RequiredPermissions = EndpointPermissions.Full` dla odpowiednich opcji punktów końcowych lub zarejestrować tylko wymagane punkty końcowe.
Oryginalny opis (angielski, źródło NVD)
Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. In Steeltoe.Management.Endpoint prior to version 4.2.0 and Steeltoe.Management.EndpointCore prior to version 3.4.0, all Steeltoe actuator endpoints default to `EndpointPermissions.Restricted`, which is mappeds to Cloud Foundry's `read_basic_data` permission (granted to Space Auditors and similar low-trust roles). Sensitive actuators including heap dump, environment, and thread dump do not raise this to `EndpointPermissions.Full`, so CF's `read_sensitive_data` permission flag is not enforced for those endpoints. Spring Boot's equivalent Cloud Foundry integration gates these endpoints with `read_sensitive_data` by default. Steeltoe.Management.Endpoint 4.2.0 and Steeltoe.Management.EndpointCore 3.4.0 patch the issue. If an immediate upgrade is not possible, explicitly set `RequiredPermissions = EndpointPermissions.Full` in the options for `HeapDumpEndpointOptions`, `EnvironmentEndpointOptions`, and `ThreadDumpEndpointOptions`; and/or if heap dump, thread dump, or environment are not needed in production, register only the required actuators individually instead of using `AddAllActuators()`.

