CVE-2026-22680
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 - wyżej niż 31% wszystkich znanych CVE
Streszczenie
W aplikacji OpenViking przed wersją 0.3.3 brakuje autoryzacji w endpointach do monitorowania zadań. Niezalogowani atakujący mogą wyliczać i odczytywać metadane zadań innych użytkowników, w tym typ zadania, status, identyfikatory zasobów, URI archiwów, wyniki i błędy.
Ocena ryzyka
Ryzyko polega na wycieku wrażliwych danych między dzierżawcami w środowiskach wielodostępnych oraz na możliwości uzyskania informacji o infrastrukturze i procesach wewnętrznych organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować OpenViking do wersji 0.3.3 lub nowszej, która zawiera poprawkę usuwającą brak autoryzacji w endpointach zadań.
Oryginalny opis (angielski, źródło NVD)
OpenViking versions prior to 0.3.3 contain a missing authorization vulnerability in the task polling endpoints that allows unauthorized attackers to enumerate or retrieve background task metadata created by other users. Attackers can access the /api/v1/tasks and /api/v1/tasks/{task_id} routes without authentication to expose task type, task status, resource identifiers, archive URIs, result payloads, and error information, potentially causing cross-tenant interference in multi-tenant deployments.

