Katalog CVE

CVE-2026-47202

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Kavita to serwer do czytania działający na różnych platformach. W wersjach przed 0.9.0.2 występowała luka związana z niewłaściwą walidacją tokenów, która pozwalała zdalnemu, nieautoryzowanemu atakującemu na żądanie JWT dla dowolnego użytkownika, w tym administratorów, znając ich nazwę użytkownika.

Ocena ryzyka

Luka ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, w tym kont administratorów, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 0.9.0.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Kavita is a cross platform reading server. Prior to 0.9.0.2, an Improper Token validation flaw permits a remote and unauthenticated threat actor to request a JWT for any user including admins given knowledge of their username. This vulnerability is fixed in 0.9.0.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS