Katalog CVE

CVE-2026-57956

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym użytkownikom dostęp do reguł alertów innych organizacji poprzez podanie docelowego UUID reguły. Mechanizm przechowywania reguł alertów nie filtruje według identyfikatora organizacji, co pozwala na ominięcie kontroli dostępu w środowisku wielodostępnym.

Ocena ryzyka

Atakujący może odczytywać, modyfikować i usuwać reguły alertów należące do innych organizacji, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz potencjalnego zakłócenia działania systemów monitorowanych.

Rekomendacja

Należy niezwłocznie zaktualizować SigNoz do wersji nowszej niż 0.130.1, która zawiera poprawkę usuwającą lukę w kontroli dostępu. Do czasu aktualizacji zaleca się ograniczenie dostępu do API reguł alertów tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

SigNoz through 0.130.1 contains a broken access control vulnerability that allows authenticated users to access other organizations' alert rules by supplying a target rule UUID, as the alert rule store predicates fail to filter by organization ID. Attackers can read, edit, and delete alert rules belonging to other organizations by exploiting the missing tenant isolation check, bypassing multi-tenant access controls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS