Katalog CVE

CVE-2026-59092

WysokieCVSS 7.7
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

JuiceFS w wersji do 1.3.1 zawiera podatność pozwalającą na ominięcie uwierzytelniania. Niezautoryzowany atakujący zdalnie może uzyskać dostęp do wrażliwych punktów końcowych debugowania i metryk, wykorzystując nieprawidłową rejestrację handlerów na współdzielonym http.DefaultServeMux. Atakujący może odczytać linię poleceń procesu zawierającą dane uwierzytelniające do bazy danych silnika metadanych, uzyskując pełny dostęp do systemu plików.

Ocena ryzyka

Ryzyko dla organizacji obejmuje wyciek danych uwierzytelniających do bazy danych metadanych, co może prowadzić do nieautoryzowanego odczytu i zapisu danych w systemie plików JuiceFS. Dodatkowo, wyciek stanu wewnętrznego oraz możliwość przeprowadzenia ataku typu Denial of Service (DoS) na profilowanych handlerach stanowią poważne zagrożenie dla integralności i dostępności systemu.

Rekomendacja

Należy natychmiast zaktualizować JuiceFS do wersji zawierającej commit a46979c lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do punktów końcowych /debug/pprof/ za pomocą zapory sieciowej lub uwierzytelniania na poziomie proxy.

Oryginalny opis (angielski, źródło NVD)

JuiceFS through 1.3.1, fixed in commit a46979c, contains an authentication bypass vulnerability that allows unauthenticated remote attackers to access sensitive debug and metrics endpoints by exploiting improper handler registration on the shared http.DefaultServeMux. Attackers can request the /debug/pprof/cmdline endpoint to obtain the process command line containing metadata engine connection strings with database credentials, granting full read/write access to filesystem metadata, while other pprof handlers leak internal state and profiling handlers enable denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS