CVE-2026-49230
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Podatność związana z niewłaściwą walidacją wartości sprawdzania integralności w Apache APISIX umożliwia obejście uwierzytelniania wtyczki jwe-decrypt w domyślnej konfiguracji. Problem dotyczy wersji od 3.8.0 do 3.16.0.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do systemów, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 3.17.0, która naprawia tę podatność.
Oryginalny opis (angielski, źródło NVD)
Improper Validation of Integrity Check Value vulnerability in Apache APISIX. The jwe-decrypt plugin under default configuration is vulnerable to authentication bypass. This issue affects Apache APISIX: from 3.8.0 through 3.16.0. Users are recommended to upgrade to version 3.17.0, which fixes the issue.

