CVE-2026-56783
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Podatność w Parseable przed wersją 2.9.2 ujawnia tokeny webhook i dane uwierzytelniające basic-auth w postaci jawnego tekstu w odpowiedziach API endpointów powiadomień. Wynika to z zakomentowania funkcji maskowania sekretów, co pozwala każdemu uwierzytelnionemu użytkownikowi z akcją GetAlert, w tym rolom o niskich uprawnieniach, na odzyskanie tych danych.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych uwierzytelniających i adresów URL wewnętrznych endpointów, co może umożliwić atakującemu przejęcie kontroli nad skonfigurowanymi celami powiadomień i dalszy atak na infrastrukturę.
Rekomendacja
Należy niezwłocznie zaktualizować Parseable do wersji 2.9.2 lub nowszej, która zawiera poprawkę przywracającą maskowanie sekretów. Dodatkowo zaleca się rotację wszystkich tokenów webhook i haseł basic-auth używanych w konfiguracji powiadomień.
Oryginalny opis (angielski, źródło NVD)
Parseable before 2.9.2 contains an information disclosure vulnerability in the notification-target API endpoints that returns webhook tokens and basic-auth credentials in cleartext due to commented-out secret-masking functionality. Any authenticated user with the GetAlert action, including low-privilege reader roles, can recover credentials and internal endpoint URLs for all configured notification targets by querying GET /api/v1/targets or related endpoints.

