Katalog CVE

CVE-2026-57953

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność w Mythic przed wersją 3.4.0.60 umożliwia uwierzytelnionym użytkownikom z rolą widza (spectator) ominięcie autoryzacji i wykonanie nieautoryzowanych operacji zapisu. Atakujący mogą wykorzystać punkt końcowy eventing_import_automatic_webhook, który jest błędnie skonfigurowany, do tworzenia i usuwania przepływów pracy automatyzacji.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane modyfikacje konfiguracji automatyzacji operacji oraz grup zdarzeń (EventGroups), co może prowadzić do zakłóceń w działaniu systemu i potencjalnego przejęcia kontroli nad procesami automatyzacji.

Rekomendacja

Należy niezwłocznie zaktualizować Mythic do wersji 3.4.0.60 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo warto przejrzeć i zaostrzyć reguły dostępu do punktów końcowych dla roli widza.

Oryginalny opis (angielski, źródło NVD)

Mythic before 3.4.0.60 contains an authorization bypass vulnerability that allows authenticated spectator-role users to perform unauthorized write operations by accessing the eventing_import_automatic_webhook endpoint registered under spectator-permitted middleware. Attackers with spectator role can exploit this misconfigured access control to create and delete automation workflows, making unauthorized modifications to operation automation configuration and EventGroups.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS