CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45577

MediumCVSS 6.9
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.25%

16th percentile - higher than 16% of all known CVEs

Summary

Neotoma w wersjach od 0.6.0 do przed 0.11.1 może traktować publiczne żądania z reverse proxy jako lokalne, gdy są odbierane przez gniazdo loopback i nie ma obecnego tokena Bearer. W dotkniętych wdrożeniach middleware autoryzacji REST może rozwiązywać nieautoryzowane żądania jako lokalnego użytkownika deweloperskiego.

Risk Assessment

W wyniku tej podatności, zdalne interfejsy API mogą być dostępne bez uwierzytelnienia, co stwarza ryzyko nieautoryzowanego dostępu do zasobów aplikacji. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do uzyskania dostępu do wrażliwych danych.

Recommendation

Zaleca się aktualizację Neotoma do wersji 0.11.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji, aby upewnić się, że nieautoryzowane żądania są odpowiednio blokowane.

Original NVD description (English source)

Neotoma provides versioned records that persist across agent runs. From 0.6.0 to before 0.11.1, Neotoma can treat public reverse-proxied requests as local when the app receives them over a loopback socket and no Bearer token is present. In affected deployments, the REST auth middleware can resolve unauthenticated requests as the local development user, making the hosted Inspector and related API surface reachable without credentials. This vulnerability is fixed in 0.11.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS