CVE-2026-21726
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
Podatność CVE-2026-21726 pozwala atakującemu na odczyt plików poprzez wykorzystanie podwójnego kodowania w parametrze namespace w punkcie końcowym Ruler API.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji.
Rekomendacja
Zaleca się wdrożenie dodatkowych mechanizmów walidacji parametrów oraz monitorowanie dostępu do punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
The CVE-2021-36156 fix validates the namespace parameter for path traversal sequences after a single URL decode, by double encoding, an attacker can read files at the Ruler API endpoint /loki/api/v1/rules/{namespace} Thanks to Prasanth Sundararajan for reporting this vulnerability.

