Katalog CVE

CVE-2026-44592

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Gradient to system ciągłej integracji oparty na Nix. W wersji 1.1.0, gdy GRADIENT_DISCOVERABLE=true, każdy, kto ma dostęp do /proto, może zarejestrować się jako pracownik bez żadnych poświadczeń, co prowadzi do nieautoryzowanego dostępu do zadań z każdej organizacji.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do danych i zadań, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufności informacji.

Rekomendacja

Zaleca się aktualizację do wersji 1.1.1, aby usunąć tę podatność oraz ograniczenie dostępu do punktu końcowego /proto.

Oryginalny opis (angielski, źródło NVD)

Gradient is a nix-based continuous integration system. In 1.1.0, when GRADIENT_DISCOVERABLE=true (the default, and the NixOS module default), anyone who can reach /proto can register as a worker without any credentials by sending a fresh, never-registered worker UUID. The resulting session has PeerAuth::Open, i.e. it sees jobs from every organisation, and can immediately NarPush/NarUploaded arbitrary store paths into nar_storage and the cached_path table. This vulnerability is fixed in 1.1.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS