CVE-2026-4881
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
W podatnych wersjach Octopus Server nieprawidłowo sprawdzano uprawnienia, co pozwalało każdemu uwierzytelnionemu użytkownikowi na dokonywanie zmian na poziomie serwera za pomocą określonego punktu końcowego API, mimo wyświetlania błędu.
Ocena ryzyka
Ryzyko polega na tym, że nieautoryzowany użytkownik może eskalować swoje uprawnienia i modyfikować konfigurację serwera, co może prowadzić do naruszenia integralności i poufności danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Octopus Server do najnowszej wersji, która zawiera poprawkę usuwającą tę lukę.
Oryginalny opis (angielski, źródło NVD)
In affected versions of Octopus Server, permissions were not checked correctly resulting in any authenticated user being able to make server level changes using a certain API endpoint despite receiving an error.

