CVE-2026-45246
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w Summarize przed wersją 0.15.1 dotyczy niebezpiecznych uprawnień plików podczas przepisywania konfiguracji w ścieżce odświeżania bez przeładowania. Powoduje to, że plik konfiguracyjny zawierający klucze API i dane uwierzytelniające dostawcy jest tworzony z domyślnymi uprawnieniami maski procesu, zamiast zachowywać oryginalne uprawnienia, co umożliwia lokalnym użytkownikom odczyt wrażliwych danych.
Ocena ryzyka
Ryzyko polega na tym, że lokalni użytkownicy na współdzielonych systemach uniksowych mogą uzyskać dostęp do pliku konfiguracyjnego z danymi uwierzytelniającymi, co może prowadzić do wycieku poufnych informacji i nieautoryzowanego dostępu do zasobów.
Rekomendacja
Należy natychmiast zaktualizować Summarize do wersji 0.15.1 lub nowszej, która usuwa tę podatność. Dodatkowo, ręcznie sprawdź i skoryguj uprawnienia pliku konfiguracyjnego, aby zapewnić, że tylko uprawnieni użytkownicy mają do niego dostęp.
Oryginalny opis (angielski, źródło NVD)
Summarize prior to 0.15.1 contains an insecure file permission vulnerability in the refresh-free configuration rewrite path that allows local users to read sensitive credentials by exploiting default filesystem permissions. When the refresh-free path rewrites the configuration file, it creates the replacement with default process umask permissions instead of preserving the original file permissions, exposing the config file containing API keys and provider credentials to other local users on shared Unix-like systems.

