CVE-2026-9831
ŚrednieCVSS 6.3Streszczenie
W systemie Extreme Platform ONE występuje warunkowa podatność wyścigu w ścieżce uwierzytelniania API klucza, która w specyficznych warunkach wysokiej konkurencji może sporadycznie pozwolić na uzyskanie danych odpowiedzi dla innego najemcy. Problem został zaobserwowany w punktach końcowych API ExtremeCloud IQ/XIQ oraz zweryfikowany w ścieżkach API XIQ/XAPI i Extreme Platform ONE/Common Services.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do danych innych najemców, co może prowadzić do wycieku wrażliwych informacji i naruszenia prywatności. Wysoka konkurencja w ruchu sieciowym zwiększa ryzyko wystąpienia tej podatności.
Rekomendacja
Zaleca się monitorowanie ruchu API oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby zminimalizować ryzyko wystąpienia warunków wyścigu. Należy również rozważyć aktualizację do najnowszej wersji oprogramowania, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
A race condition in the shared Extreme Platform ONE IAM Gateway API-key authentication path could, under specific high-concurrency traffic conditions, intermittently allow requests authenticated with an Extreme Platform ONE /IAM-issued API key to receive response data for another tenant. The issue was observed through ExtremeCloud IQ/XIQ API endpoints and validated against both XIQ/XAPI and Extreme Platform ONE /Common Services API paths. XIQ-native tokens and standard OAuth/Bearer JWT authentication were not affected.

