CVE-2026-59509
KrytyczneCVSS 9.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
Podatność w cve-search pozwala nieuwierzytelnionemu atakującemu na manipulację parametrami żądania POST /fetch_cve_data, co umożliwia odczyt dowolnych kolekcji MongoDB, w tym mgmt_users zawierającej nazwy użytkowników i hashe haseł administratorów.
Ocena ryzyka
Ryzyko obejmuje możliwość złamania haseł administratorów w trybie offline i przejęcia kont administracyjnych, co może prowadzić do pełnej kompromitacji systemu i danych.
Rekomendacja
Należy natychmiast zaktualizować cve-search do najnowszej wersji łatającej tę podatność oraz ograniczyć dostęp do endpointu /fetch_cve_data tylko dla uwierzytelnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated improper input validation vulnerability in the POST /fetch_cve_data endpoint in cve-search. A remote attacker can manipulate request parameters controlling the MongoDB collection, projected fields, and regular-expression filters to read arbitrary application MongoDB collections. This can expose administrative usernames and password hashes from the mgmt_users collection, enabling offline password cracking and potential administrative account compromise.

