CVE-2026-47202
KrytyczneStreszczenie
Kavita to serwer do czytania działający na różnych platformach. W wersjach przed 0.9.0.2 występowała luka związana z niewłaściwą walidacją tokenów, która pozwalała zdalnemu, nieautoryzowanemu atakującemu na żądanie JWT dla dowolnego użytkownika, w tym administratorów, znając ich nazwę użytkownika.
Ocena ryzyka
Luka ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, w tym kont administratorów, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 0.9.0.2 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Kavita is a cross platform reading server. Prior to 0.9.0.2, an Improper Token validation flaw permits a remote and unauthenticated threat actor to request a JWT for any user including admins given knowledge of their username. This vulnerability is fixed in 0.9.0.2.

