CVE-2026-45776
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
W OpenXDMoD przed wersją 11.0.3 występuje luka w logice kontroli dostępu, która pozwala atakującemu na przesłanie spreparowanego żądania HTTPS POST, co umożliwia obejście ograniczeń dostępu do danych. Luka ta dotyczy instalacji zawierających opcjonalny moduł Job Performance (SUPReMM).
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do metryk wydajności obliczeniowej innych użytkowników, co może prowadzić do ujawnienia wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji Open XDMoD 11.0.3 lub zastosowanie łatki ręcznie, aby zabezpieczyć system przed tą luką.
Oryginalny opis (angielski, źródło NVD)
OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, a flaw in Open XDMoD's access control logic allows an attacker to submit a crafted HTTPS POST request that sets a session variable used for authorization decisions. If an installation of Open XDMoD includes the optional Job Performance (SUPReMM) module, an attacker could bypass intended data access restrictions and view other users' compute job efficiency metrics. All deployments of Open XDMoD prior to version 11.0.3 that contain the optional Job Performance (SUPReMM) module are impacted. This issue was reported privately on 2026-04-06, and at this time there is no evidence that this vulnerability has been exploited in the wild. The vulnerability was patched in Open XDMoD 11.0.3 on 2026-05-12. As a workaround, apply the patch manually.

