CVE-2026-54324
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W Daytona, przed wersją 0.185.0, występowała luka w autoryzacji między najemcami w bramie WebSocket powiadomień, która pozwalała uwierzytelnionym użytkownikom na subskrypcję kanałów powiadomień w czasie rzeczywistym innej organizacji.
Ocena ryzyka
Luka ta umożliwia nieautoryzowany dostęp do zdarzeń innej organizacji, co może prowadzić do wycieku poufnych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.185.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Daytona is a secure and elastic infrastructure runtime for AI-generated code execution and agent workflows. Prior to 0.185.0, a cross-tenant authorization flaw in Daytona's notification WebSocket gateway allowed any authenticated user to subscribe to another organization's realtime notification channel and passively receive that organization's events. This vulnerability is fixed in 0.185.0.

