Katalog CVE

CVE-2026-59509

KrytyczneCVSS 9.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

W aplikacji cve-search w punkcie końcowym POST /fetch_cve_data występuje luka polegająca na nieprawidłowej walidacji danych wejściowych, którą może wykorzystać nieuwierzytelniony atakujący. Poprzez manipulację parametrami żądania kontrolującymi kolekcję MongoDB, wyświetlane pola oraz filtry wyrażeń regularnych, możliwe jest odczytanie dowolnych kolekcji MongoDB aplikacji.

Ocena ryzyka

Atakujący może uzyskać dostęp do kolekcji mgmt_users zawierającej nazwy użytkowników administracyjnych i skróty haseł, co umożliwia próbę złamania haseł w trybie offline i potencjalne przejęcie konta administracyjnego.

Rekomendacja

Należy natychmiast zaktualizować cve-search do najnowszej wersji zawierającej poprawkę oraz wdrożyć walidację i sanityzację wszystkich parametrów wejściowych w punkcie końcowym POST /fetch_cve_data.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated improper input validation vulnerability in the POST /fetch_cve_data endpoint in cve-search. A remote attacker can manipulate request parameters controlling the MongoDB collection, projected fields, and regular-expression filters to read arbitrary application MongoDB collections. This can expose administrative usernames and password hashes from the mgmt_users collection, enabling offline password cracking and potential administrative account compromise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS