Katalog CVE

CVE-2026-56783

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Podatność w Parseable przed wersją 2.9.2 ujawnia tokeny webhook i dane uwierzytelniające basic-auth w postaci jawnego tekstu w odpowiedziach API endpointów powiadomień. Wynika to z zakomentowania funkcji maskowania sekretów, co pozwala każdemu uwierzytelnionemu użytkownikowi z akcją GetAlert, w tym rolom o niskich uprawnieniach, na odzyskanie tych danych.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych uwierzytelniających i adresów URL wewnętrznych endpointów, co może umożliwić atakującemu przejęcie kontroli nad skonfigurowanymi celami powiadomień i dalszy atak na infrastrukturę.

Rekomendacja

Należy niezwłocznie zaktualizować Parseable do wersji 2.9.2 lub nowszej, która zawiera poprawkę przywracającą maskowanie sekretów. Dodatkowo zaleca się rotację wszystkich tokenów webhook i haseł basic-auth używanych w konfiguracji powiadomień.

Oryginalny opis (angielski, źródło NVD)

Parseable before 2.9.2 contains an information disclosure vulnerability in the notification-target API endpoints that returns webhook tokens and basic-auth credentials in cleartext due to commented-out secret-masking functionality. Any authenticated user with the GetAlert action, including low-privilege reader roles, can recover credentials and internal endpoint URLs for all configured notification targets by querying GET /api/v1/targets or related endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS