Katalog CVE

CVE-2026-59509

KrytyczneCVSS 9.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Podatność w cve-search pozwala nieuwierzytelnionemu atakującemu na manipulację parametrami żądania POST /fetch_cve_data, co umożliwia odczyt dowolnych kolekcji MongoDB, w tym mgmt_users zawierającej nazwy użytkowników i hashe haseł administratorów.

Ocena ryzyka

Ryzyko obejmuje możliwość złamania haseł administratorów w trybie offline i przejęcia kont administracyjnych, co może prowadzić do pełnej kompromitacji systemu i danych.

Rekomendacja

Należy natychmiast zaktualizować cve-search do najnowszej wersji łatającej tę podatność oraz ograniczyć dostęp do endpointu /fetch_cve_data tylko dla uwierzytelnionych użytkowników.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated improper input validation vulnerability in the POST /fetch_cve_data endpoint in cve-search. A remote attacker can manipulate request parameters controlling the MongoDB collection, projected fields, and regular-expression filters to read arbitrary application MongoDB collections. This can expose administrative usernames and password hashes from the mgmt_users collection, enabling offline password cracking and potential administrative account compromise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS