CVE-2026-50629
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Parametr 'clientId' z przychodzących żądań HTTP jest bezpośrednio łączony z komunikatami ostrzegawczymi w logach serwera OAuth2 bez sanitizacji znaków kontrolnych. To umożliwia atakującemu wstrzykiwanie dowolnych treści, w tym fałszywych wpisów logów, do plików logów serwera.
Ocena ryzyka
Atakujący może manipulować logami serwera, co może prowadzić do utraty integralności danych oraz utrudnienia w monitorowaniu i analizie zdarzeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 4.2.2 lub 4.1.7, które naprawiają ten problem.
Oryginalny opis (angielski, źródło NVD)
The 'clientId' parameter from incoming HTTP requests is directly concatenated into OAuth2 server log warning messages without sanitizing control characters. This allows an attacker to inject arbitrary content, including fake log entries, into the server's log files. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.

