CVE-2026-8668
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W Chef 360 przed wersją 1.7.0 znajdowało się statyczne poświadczenie, które umożliwiało nieautoryzowany dostęp do wewnętrznych kolejek wiadomości. Wiadomości w kolejkach zawierały identyfikatory specyficzne dla najemców.
Ocena ryzyka
Organizacje mogły być narażone na ujawnienie wrażliwych informacji dotyczących najemców, co mogło prowadzić do naruszenia prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do wersji Chef 360 co najmniej 1.7.0, aby usunąć to zagrożenie i zapewnić odpowiednie zabezpieczenia dostępu.
Oryginalny opis (angielski, źródło NVD)
A static credential embedded in Chef 360 prior to v1.7.0 permitted unauthenticated access to internal message queues. Queue messages contained tenant-specific identifiers. The credential has been rotated and replaced with per-tenant access in subsequent versions, eliminating this access method entirely.

