CVE-2026-22207
KrytyczneStreszczenie
OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.
Ocena ryzyka
Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do krytycznych funkcji systemowych bez autoryzacji. Może to prowadzić do nieautoryzowanych zmian w systemie oraz wycieku danych.
Rekomendacja
Zaleca się natychmiastowe wprowadzenie konfiguracji root_api_key oraz aktualizację OpenViking do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
OpenViking through version 0.1.18, prior to commit 0251c70, contains a broken access control vulnerability that allows unauthenticated attackers to gain ROOT privileges when the root_api_key configuration is omitted. Attackers can send requests to protected endpoints without authentication headers to access administrative functions including account management, resource operations, and system configuration.

