Katalog CVE

CVE-2026-58377

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Podatność w JeecgBoot do wersji 3.9.2 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach pełny dostęp do zarządzania poświadczeniami OpenAPI. Brak autoryzacji Shiro w kontrolerach OpenApiAuthController i OpenApiPermissionController pozwala na tworzenie, odczyt, aktualizację i usuwanie wszystkich par AK/SK, a endpoint listy zwraca sekretne klucze w postaci jawnego tekstu.

Ocena ryzyka

Organizacja narażona jest na kradzież poświadczeń API i nieautoryzowane wywołania interfejsu OpenAPI, co może prowadzić do wycieku danych, niekontrolowanego użycia zasobów i naruszenia integralności systemu.

Rekomendacja

Należy natychmiast zaktualizować JeecgBoot do wersji powyżej 3.9.2 lub zastosować łatkę zabezpieczającą, która dodaje odpowiednie adnotacje autoryzacyjne Shiro do kontrolerów OpenAPI.

Oryginalny opis (angielski, źródło NVD)

JeecgBoot through 3.9.2 contains a broken access control vulnerability that allows authenticated low-privilege users to perform full create, read, update, and delete operations on OpenAPI credentials by accessing the OpenApiAuthController and OpenApiPermissionController endpoints which lack Shiro authorization annotations. Attackers can exploit the unenforced access controls to list, add, edit, and delete all AK/SK credential pairs, with the list endpoint returning secret keys in plaintext, enabling credential theft and unauthorized invocation of the OpenAPI surface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS