CVE-2026-39999
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność na obejście uwierzytelnienia poprzez spoofing w Apache APISIX pozwala atakującemu na całkowite ominięcie procesu uwierzytelniania, wykorzystując określone konfiguracje wtyczki jwt-auth. Problem dotyczy wersji Apache APISIX od v2.2 do v3.16.0.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do wersji v3.17.0, która naprawia tę podatność.
Oryginalny opis (angielski, źródło NVD)
Authentication Bypass by Spoofing vulnerability in Apache APISIX. The attacker can completely bypass authentication capitalising on certain configurations of jwt-auth plugin. This issue affects Apache APISIX: from v2.2 through v3.16.0. Users are recommended to upgrade to version v3.17.0, which fixes the issue.

