Katalog CVE

CVE-2026-39910

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

API STACKIT IaaS zawiera lukę związaną z brakiem weryfikacji autoryzacji, która pozwala uwierzytelnionym, niskoprawnym atakującym na eskalację uprawnień do pełnego kompromitowania organizacji poprzez dołączanie dowolnych kont serwisowych do kontrolowanych przez nich maszyn wirtualnych.

Ocena ryzyka

Atakujący mogą wykorzystać tę lukę do uzyskania nieautoryzowanego dostępu do całego środowiska organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych i zasobów.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów weryfikacji autoryzacji dla punktów końcowych API oraz monitorowanie i ograniczenie dostępu do kont serwisowych o wysokich uprawnieniach.

Oryginalny opis (angielski, źródło NVD)

STACKIT IaaS API contains a missing authorization check vulnerability that allows authenticated, low-privileged attackers to escalate privileges to full organization compromise by attaching arbitrary service accounts to virtual machines they control. Attackers can exploit the unvalidated PUT servers service-accounts endpoint to attach high-privileged service accounts and query the Instance Metadata Service to retrieve OAuth2 tokens, bypassing tenant boundaries and gaining unauthorized control over the entire organization environment.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS