Katalog CVE

CVE-2026-50559

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

Podatność w Quarkus umożliwia ominięcie autoryzacji opartej na ścieżkach HTTP poprzez użycie zakodowanych średników (%3B) do przemycenia parametrów macierzowych oraz zakodowanych ukośników (%2F) lub backslashy (%5C) do dostępu do chronionych zasobów statycznych. Problem jest odrębny od CVE-2026-39852, który dotyczył tylko usuwania literałowych średników.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów aplikacji, co może prowadzić do wycieku danych lub naruszenia integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Quarkus do jednej z załatanych wersji: 3.37.0, 3.36.3, 3.33.2.1, 3.33.3, 3.27.4.1, 3.27.5 lub 3.20.6.2.

Oryginalny opis (angielski, źródło NVD)

Quarkus is a Java framework for building cloud-native applications. Prior to versions 3.37.0, 3.36.3, 3.33.2.1, 3.33.3, 3.27.4.1, 3.27.5, and 3.20.6.2, Quarkus HTTP path-based authorization policies can be bypassed using encoded semicolons (%3B) to smuggle matrix parameters past the security layer, and using encoded slashes (%2F) or backslashes (%5C) to access protected static resources. This is a distinct issue from CVE-2026-39852, which addressed only literal semicolon stripping. Versions 3.37.0, 3.36.3, 3.33.2.1, 3.33.3, 3.27.4.1, 3.27.5, and 3.20.6.2 contain a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS