Katalog CVE

CVE-2026-58167

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Podatność w Nightingale (n9e) przed wersją 9.0.0-beta.2 umożliwia każdemu uwierzytelnionemu użytkownikowi z niskimi uprawnieniami (rola Standard) odczyt pełnych konfiguracji źródeł danych, w tym haseł baz danych, tokenów HTTP Bearer, haseł HTTP Basic Auth oraz kluczy klienckich mTLS. Dzieje się tak przez endpoint POST /api/n9e/datasource/list, który nie wymaga autoryzacji administratora, a filtr DatasourceFilter nie usuwa pól zawierających sekrety.

Ocena ryzyka

Ujawnione dane uwierzytelniające mogą pozwolić atakującemu na dostęp do podłączonych systemów zewnętrznych, co grozi wyciekiem danych, ich modyfikacją lub dalszymi atakami na infrastrukturę.

Rekomendacja

Należy natychmiast zaktualizować Nightingale do wersji 9.0.0-beta.2 lub nowszej, która zawiera poprawkę usuwającą tę lukę. Do czasu aktualizacji należy ograniczyć dostęp do endpointu POST /api/n9e/datasource/list tylko dla administratorów.

Oryginalny opis (angielski, źródło NVD)

Nightingale (n9e) before 9.0.0-beta.2 exposes full datasource configurations, including plaintext database passwords, HTTP bearer tokens, HTTP basic-auth passwords, and mTLS client keys, to any authenticated low-privilege (Standard role) user through POST /api/n9e/datasource/list. The route is registered without an admin authorization gate, unlike the sibling datasource mutation routes, and the open-source DatasourceFilter does not redact secret fields, so the secret-bearing settings, http, and auth objects are serialized in the response. The disclosed credentials enable access to the connected downstream systems.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS