Katalog CVE

CVE-2026-54324

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W Daytona, przed wersją 0.185.0, występowała luka w autoryzacji między najemcami w bramie WebSocket powiadomień, która pozwalała uwierzytelnionym użytkownikom na subskrypcję kanałów powiadomień w czasie rzeczywistym innej organizacji.

Ocena ryzyka

Luka ta umożliwia nieautoryzowany dostęp do zdarzeń innej organizacji, co może prowadzić do wycieku poufnych informacji.

Rekomendacja

Zaleca się aktualizację do wersji 0.185.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Daytona is a secure and elastic infrastructure runtime for AI-generated code execution and agent workflows. Prior to 0.185.0, a cross-tenant authorization flaw in Daytona's notification WebSocket gateway allowed any authenticated user to subscribe to another organization's realtime notification channel and passively receive that organization's events. This vulnerability is fixed in 0.185.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS