CVE-2026-10052
MediumSummary
W narzędziu konfiguracyjnym Quay znaleziono lukę w funkcjach walidacji LDAP i SMTP. Atakujący z dostępem do edytora konfiguracji może wykorzystać te funkcje, które nawiązują połączenia wychodzące do dostarczonych przez użytkownika punktów końcowych bez odpowiedniego filtrowania IP lub hosta.
Risk Assessment
Luka ta umożliwia atakującemu przeprowadzenie rekonesansu wewnętrznej sieci z pozycji podu Quay, co może prowadzić do mapowania infrastruktury wewnętrznej sieci organizacji.
Recommendation
Zaleca się ograniczenie dostępu do edytora konfiguracji oraz wdrożenie odpowiednich filtrów IP i hostów w funkcjach walidacji LDAP i SMTP.
Original NVD description (English source)
A flaw was found in the Quay config-tool's LDAP and SMTP validation functions. An attacker with config editor access can exploit these functions, which make outbound connections to user-supplied endpoints without proper IP or host filtering. This allows the attacker to perform internal network reconnaissance from the Quay pod's network position, potentially mapping the internal network infrastructure.

