Katalog CVE

CVE-2026-22680

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 31 - wyżej niż 31% wszystkich znanych CVE

Streszczenie

W aplikacji OpenViking przed wersją 0.3.3 brakuje autoryzacji w endpointach do monitorowania zadań. Niezalogowani atakujący mogą wyliczać i odczytywać metadane zadań innych użytkowników, w tym typ zadania, status, identyfikatory zasobów, URI archiwów, wyniki i błędy.

Ocena ryzyka

Ryzyko polega na wycieku wrażliwych danych między dzierżawcami w środowiskach wielodostępnych oraz na możliwości uzyskania informacji o infrastrukturze i procesach wewnętrznych organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować OpenViking do wersji 0.3.3 lub nowszej, która zawiera poprawkę usuwającą brak autoryzacji w endpointach zadań.

Oryginalny opis (angielski, źródło NVD)

OpenViking versions prior to 0.3.3 contain a missing authorization vulnerability in the task polling endpoints that allows unauthorized attackers to enumerate or retrieve background task metadata created by other users. Attackers can access the /api/v1/tasks and /api/v1/tasks/{task_id} routes without authentication to expose task type, task status, resource identifiers, archive URIs, result payloads, and error information, potentially causing cross-tenant interference in multi-tenant deployments.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS