CVE-2026-13482
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wykryto podatność w skypilot do wersji 0.12.0, dotyczącą funkcji username.encode w pliku sky/users/server.py komponentu User ID Handler. Manipulacja prowadzi do użycia słabego hasha, co umożliwia atak zdalny o wysokiej złożoności.
Ocena ryzyka
Atakujący może zdalnie wykorzystać słaby hash do naruszenia integralności danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemu.
Rekomendacja
Należy natychmiast zaktualizować skypilot do najnowszej wersji po 0.12.0 oraz zastosować silniejszy algorytm haszowania dla identyfikatorów użytkowników.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in skypilot-org skypilot up to 0.12.0. Impacted is the function username.encode of the file sky/users/server.py of the component User ID Handler. The manipulation results in use of weak hash. The attack may be performed from remote. This attack is characterized by high complexity. The exploitability is considered difficult. The exploit is now public and may be used. The vendor was contacted early about this disclosure.

