CVE-2026-59509
KrytyczneCVSS 9.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
W aplikacji cve-search w punkcie końcowym POST /fetch_cve_data występuje luka polegająca na nieprawidłowej walidacji danych wejściowych, którą może wykorzystać nieuwierzytelniony atakujący. Poprzez manipulację parametrami żądania kontrolującymi kolekcję MongoDB, wyświetlane pola oraz filtry wyrażeń regularnych, możliwe jest odczytanie dowolnych kolekcji MongoDB aplikacji.
Ocena ryzyka
Atakujący może uzyskać dostęp do kolekcji mgmt_users zawierającej nazwy użytkowników administracyjnych i skróty haseł, co umożliwia próbę złamania haseł w trybie offline i potencjalne przejęcie konta administracyjnego.
Rekomendacja
Należy natychmiast zaktualizować cve-search do najnowszej wersji zawierającej poprawkę oraz wdrożyć walidację i sanityzację wszystkich parametrów wejściowych w punkcie końcowym POST /fetch_cve_data.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated improper input validation vulnerability in the POST /fetch_cve_data endpoint in cve-search. A remote attacker can manipulate request parameters controlling the MongoDB collection, projected fields, and regular-expression filters to read arbitrary application MongoDB collections. This can expose administrative usernames and password hashes from the mgmt_users collection, enabling offline password cracking and potential administrative account compromise.

