CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-7573

MediumCVSS 5.0
Published: Updated: Translated: NVD NIST

Summary

W Velocidex Velociraptor w wersjach poniżej 0.76.5 występuje luka w autoryzacji (CWE-639) w punkcie końcowym API gRPC GetUserRoles, która pozwala każdemu uwierzytelnionemu użytkownikowi o niskich uprawnieniach na uzyskanie pełnej polityki ACL (ról i uprawnień) dla dowolnego użytkownika w każdej organizacji, poprzez dostarczenie odpowiednich parametrów Name i Org w żądaniu sieciowym.

Risk Assessment

Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji o rolach i uprawnieniach użytkowników, co może zagrażać bezpieczeństwu danych w organizacji.

Recommendation

Zaleca się aktualizację Velocidex Velociraptor do wersji 0.76.5 lub nowszej, aby zlikwidować tę lukę oraz przegląd polityki dostępu dla użytkowników o niskich uprawnieniach.

Original NVD description (English source)

An authorization bypass (CWE-639) in the GetUserRoles gRPC API endpoint in Velocidex Velociraptor below version 0.76.5 allows any authenticated low-privilege user to retrieve the complete ACL policy (roles and permissions) for any user across all organizations by supplying targeted Name and Org parameters via a network request.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS