Katalog CVE

CVE-2026-59097

ŚrednieCVSS 5.3
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Taiga przed wersją 6.10.2 zawiera lukę braku autoryzacji, która pozwala nieuwierzytelnionym zdalnym atakującym na tworzenie domyślnych rekordów terminów w dowolnym projekcie poprzez wykorzystanie niezabezpieczonych punktów końcowych API dla historyjek użytkownika, zadań i zgłoszeń. Atakujący mogą podać dowolny identyfikator projektu, co omija sprawdzanie uprawnień i stosuje domyślne ustawienie AllowAny, aby przejąć inicjatywę przed administratorami projektu.

Ocena ryzyka

Ryzyko polega na tym, że atakujący może zakłócić proces zarządzania terminami w projektach, uniemożliwiając administratorom prawidłowe ustawienie domyślnych dat, co może prowadzić do chaosu organizacyjnego i opóźnień.

Rekomendacja

Należy niezwłocznie zaktualizować Taigę do wersji 6.10.2 lub nowszej, która zawiera poprawkę usuwającą lukę braku autoryzacji w punktach końcowych API.

Oryginalny opis (angielski, źródło NVD)

Taiga before 6.10.2 contains a missing authorization vulnerability that allows unauthenticated remote attackers to create default due-date records in any project by exploiting unprotected POST endpoints on the user-story, task, and issue due-date API viewsets. Attackers can supply an arbitrary project identifier to these endpoints, which bypass permission checks and apply the AllowAny default, to pre-empt project administrators from initializing due dates by creating records before they can do so themselves.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS