Katalog CVE

CVE-2026-13482

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wykryto podatność w skypilot do wersji 0.12.0, dotyczącą funkcji username.encode w pliku sky/users/server.py komponentu User ID Handler. Manipulacja prowadzi do użycia słabego hasha, co umożliwia atak zdalny o wysokiej złożoności.

Ocena ryzyka

Atakujący może zdalnie wykorzystać słaby hash do naruszenia integralności danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemu.

Rekomendacja

Należy natychmiast zaktualizować skypilot do najnowszej wersji po 0.12.0 oraz zastosować silniejszy algorytm haszowania dla identyfikatorów użytkowników.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was detected in skypilot-org skypilot up to 0.12.0. Impacted is the function username.encode of the file sky/users/server.py of the component User ID Handler. The manipulation results in use of weak hash. The attack may be performed from remote. This attack is characterized by high complexity. The exploitability is considered difficult. The exploit is now public and may be used. The vendor was contacted early about this disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS