CVE-2026-50559
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Podatność w Quarkus umożliwia ominięcie autoryzacji opartej na ścieżkach HTTP poprzez użycie zakodowanych średników (%3B) do przemycenia parametrów macierzowych oraz zakodowanych ukośników (%2F) lub backslashy (%5C) do dostępu do chronionych zasobów statycznych. Problem jest odrębny od CVE-2026-39852, który dotyczył tylko usuwania literałowych średników.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów aplikacji, co może prowadzić do wycieku danych lub naruszenia integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Quarkus do jednej z załatanych wersji: 3.37.0, 3.36.3, 3.33.2.1, 3.33.3, 3.27.4.1, 3.27.5 lub 3.20.6.2.
Oryginalny opis (angielski, źródło NVD)
Quarkus is a Java framework for building cloud-native applications. Prior to versions 3.37.0, 3.36.3, 3.33.2.1, 3.33.3, 3.27.4.1, 3.27.5, and 3.20.6.2, Quarkus HTTP path-based authorization policies can be bypassed using encoded semicolons (%3B) to smuggle matrix parameters past the security layer, and using encoded slashes (%2F) or backslashes (%5C) to access protected static resources. This is a distinct issue from CVE-2026-39852, which addressed only literal semicolon stripping. Versions 3.37.0, 3.36.3, 3.33.2.1, 3.33.3, 3.27.4.1, 3.27.5, and 3.20.6.2 contain a patch.

