Katalog CVE

CVE-2026-50629

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Parametr 'clientId' z przychodzących żądań HTTP jest bezpośrednio łączony z komunikatami ostrzegawczymi w logach serwera OAuth2 bez sanitizacji znaków kontrolnych. To umożliwia atakującemu wstrzykiwanie dowolnych treści, w tym fałszywych wpisów logów, do plików logów serwera.

Ocena ryzyka

Atakujący może manipulować logami serwera, co może prowadzić do utraty integralności danych oraz utrudnienia w monitorowaniu i analizie zdarzeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 4.2.2 lub 4.1.7, które naprawiają ten problem.

Oryginalny opis (angielski, źródło NVD)

The 'clientId' parameter from incoming HTTP requests is directly concatenated into OAuth2 server log warning messages without sanitizing control characters. This allows an attacker to inject arbitrary content, including fake log entries, into the server's log files. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS