Katalog CVE

CVE-2026-59093

WysokieCVSS 8.8
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

W Weaviate przed wersją 1.38.0 brakuje weryfikacji, czy podmiot przypisujący rolę RBAC posiada uprawnienia nadawane przez tę rolę. Procedury assignRoleToUser i assignRoleToGroup autoryzują jedynie możliwość przypisania roli, a nie same uprawnienia, co pozwala użytkownikowi z delegowanym uprawnieniem assign_and_revoke_users lub assign_and_revoke_groups na przypisanie sobie lub innym roli administratora lub dowolnej wysokouprzywilejowanej roli niestandardowej.

Ocena ryzyka

Organizacja narażona jest na eskalację uprawnień, w wyniku której osoba z ograniczonymi uprawnieniami może uzyskać pełną kontrolę administracyjną nad bazą danych Weaviate, co może prowadzić do naruszenia poufności, integralności i dostępności danych.

Rekomendacja

Należy niezwłocznie zaktualizować Weaviate do wersji 1.38.0 lub nowszej, która zawiera poprawkę wymuszającą weryfikację uprawnień podczas przypisywania ról.

Oryginalny opis (angielski, źródło NVD)

Weaviate before 1.38.0 does not verify that a principal performing an RBAC role assignment holds the permissions granted by the assigned role. The assignRoleToUser and assignRoleToGroup handlers (POST /authz/users/{id}/assign and /authz/groups/{id}/assign) authorize only that the caller may assign roles to the target user or group, not the permissions contained in the assigned roles, unlike role creation which enforces that a user can only create roles with permissions less than or equal to its own. A user holding only the delegated assign_and_revoke_users or assign_and_revoke_groups permission can assign the built-in admin role, or any high-privilege custom role, to itself or others, escalating to full administrative control of the database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS