Katalog CVE

CVE-2026-5142

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W oprogramowaniu Foreman stwierdzono podatność, która umożliwia uwierzytelnionym użytkownikom z uprawnieniem 'view_keypairs' pobieranie prywatnych kluczy SSH z innych organizacji poprzez bezpośrednie zapytania o identyfikatory par kluczy. Problem wynika z ominięcia zakresowania taksonomicznego, co prowadzi do nieautoryzowanego dostępu do danych między dzierżawcami.

Ocena ryzyka

Ryzyko polega na potencjalnym wycieku poufnych kluczy SSH w środowiskach wielodostępnych, co może umożliwić atakującemu dostęp do systemów i danych innych organizacji, naruszając bezpieczeństwo i poufność.

Rekomendacja

Zaleca się natychmiastową aktualizację Foreman do wersji zawierającej poprawkę usuwającą tę podatność oraz weryfikację konfiguracji uprawnień 'view_keypairs' w celu ograniczenia dostępu tylko do niezbędnych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in foreman. Authenticated users with 'view_keypairs' permission can bypass taxonomy scoping, allowing them to download private SSH (Secure Shell) keys from other organizations by directly querying key pair IDs. This vulnerability leads to cross-tenant data exposure in multi-tenant deployments, potentially compromising sensitive information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS