CVE-2026-57956
ŚrednieCVSS 6.4Streszczenie
Podatność w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym użytkownikom dostęp do reguł alertów innych organizacji poprzez podanie docelowego UUID reguły. Mechanizm przechowywania reguł alertów nie filtruje według identyfikatora organizacji, co pozwala na ominięcie kontroli dostępu w środowisku wielodostępnym.
Ocena ryzyka
Atakujący może odczytywać, modyfikować i usuwać reguły alertów należące do innych organizacji, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz potencjalnego zakłócenia działania systemów monitorowanych.
Rekomendacja
Należy niezwłocznie zaktualizować SigNoz do wersji nowszej niż 0.130.1, która zawiera poprawkę usuwającą lukę w kontroli dostępu. Do czasu aktualizacji zaleca się ograniczenie dostępu do API reguł alertów tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
SigNoz through 0.130.1 contains a broken access control vulnerability that allows authenticated users to access other organizations' alert rules by supplying a target rule UUID, as the alert rule store predicates fail to filter by organization ID. Attackers can read, edit, and delete alert rules belonging to other organizations by exploiting the missing tenant isolation check, bypassing multi-tenant access controls.

