CVE-2026-57953
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Mythic przed wersją 3.4.0.60 umożliwia uwierzytelnionym użytkownikom z rolą widza (spectator) ominięcie autoryzacji i wykonanie nieautoryzowanych operacji zapisu. Atakujący mogą wykorzystać punkt końcowy eventing_import_automatic_webhook, który jest błędnie skonfigurowany, do tworzenia i usuwania przepływów pracy automatyzacji.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane modyfikacje konfiguracji automatyzacji operacji oraz grup zdarzeń (EventGroups), co może prowadzić do zakłóceń w działaniu systemu i potencjalnego przejęcia kontroli nad procesami automatyzacji.
Rekomendacja
Należy niezwłocznie zaktualizować Mythic do wersji 3.4.0.60 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo warto przejrzeć i zaostrzyć reguły dostępu do punktów końcowych dla roli widza.
Oryginalny opis (angielski, źródło NVD)
Mythic before 3.4.0.60 contains an authorization bypass vulnerability that allows authenticated spectator-role users to perform unauthorized write operations by accessing the eventing_import_automatic_webhook endpoint registered under spectator-permitted middleware. Attackers with spectator role can exploit this misconfigured access control to create and delete automation workflows, making unauthorized modifications to operation automation configuration and EventGroups.

