Katalog CVE

CVE-2026-57951

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w Mythic przed wersją 3.4.0.60 wynika z uszkodzonego filtra uprawnień Hasura na tabeli payload_build_step, który zawiera zawsze spełniony warunek _or, omijający kontrolę dostępu na poziomie operacji. Uwierzytelnieni operatorzy i widzowie mogą odczytywać dane z payload_build_step, w tym step_stdout, step_stderr, step_name i step_description, dla wszystkich operacji na serwerze.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do wrażliwych danych wyjściowych i metadanych kroków budowania ładunku, co może ujawnić poufne informacje o procesach operacyjnych i potencjalnie umożliwić dalsze ataki.

Rekomendacja

Zaleca się natychmiastową aktualizację Mythic do wersji 3.4.0.60 lub nowszej, która naprawia uszkodzony filtr uprawnień Hasura.

Oryginalny opis (angielski, źródło NVD)

Mythic before 3.4.0.60 contains a broken hasura permission filter on the payload_build_step table with an always-satisfied _or condition that bypasses operation-scoped access controls. Authenticated operators and spectators can query payload_build_step to read step_stdout, step_stderr, step_name, and step_description across all operations on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS