CVE-2026-58377
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Podatność w JeecgBoot do wersji 3.9.2 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach pełny dostęp do zarządzania poświadczeniami OpenAPI. Brak autoryzacji Shiro w kontrolerach OpenApiAuthController i OpenApiPermissionController pozwala na tworzenie, odczyt, aktualizację i usuwanie wszystkich par AK/SK, a endpoint listy zwraca sekretne klucze w postaci jawnego tekstu.
Ocena ryzyka
Organizacja narażona jest na kradzież poświadczeń API i nieautoryzowane wywołania interfejsu OpenAPI, co może prowadzić do wycieku danych, niekontrolowanego użycia zasobów i naruszenia integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować JeecgBoot do wersji powyżej 3.9.2 lub zastosować łatkę zabezpieczającą, która dodaje odpowiednie adnotacje autoryzacyjne Shiro do kontrolerów OpenAPI.
Oryginalny opis (angielski, źródło NVD)
JeecgBoot through 3.9.2 contains a broken access control vulnerability that allows authenticated low-privilege users to perform full create, read, update, and delete operations on OpenAPI credentials by accessing the OpenApiAuthController and OpenApiPermissionController endpoints which lack Shiro authorization annotations. Attackers can exploit the unenforced access controls to list, add, edit, and delete all AK/SK credential pairs, with the list endpoint returning secret keys in plaintext, enabling credential theft and unauthorized invocation of the OpenAPI surface.

