Katalog CVE

CVE-2026-58466

KrytyczneCVSS 9.8
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

AutoBangumi przed wersją 3.2.8 zawiera zakodowane na stałe domyślne dane uwierzytelniające, które pozwalają nieuwierzytelnionym atakującym zalogować się jako administrator przy użyciu publicznie znanych domyślnych poświadczeń. Poświadczenia te są ustawiane podczas uruchamiania przez funkcję add_default_user() w module bazy danych użytkowników, gdy tabela użytkowników jest pusta.

Ocena ryzyka

Atakujący może uzyskać pełną kontrolę nad aplikacją, w tym nad konfiguracją kanałów RSS, konfiguracją pobierania oraz wszystkimi uwierzytelnionymi punktami końcowymi API, co prowadzi do przejęcia systemu i potencjalnego wycieku danych.

Rekomendacja

Należy natychmiast zaktualizować AutoBangumi do wersji 3.2.8 lub nowszej, a także zmienić domyślne dane uwierzytelniające na unikalne i silne hasło.

Oryginalny opis (angielski, źródło NVD)

AutoBangumi before 3.2.8 contains a hard-coded default credentials vulnerability that allows unauthenticated attackers to authenticate as the administrator by using the publicly known default credentials seeded at startup via add_default_user() in the database user module when the users table is empty. Attackers can submit the default credentials to the authentication login endpoint to gain full control of the application, including RSS feed configuration, downloader configuration, and all authenticated API endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS