Pelican · Pelican · CVE-2026-42571
**Nome do Software Vulnerável e Versões Afetadas**
Pelican versões 7.21.0 a 7.21.4
Pelican versões 7.22.0 a 7.22.2
Pelican versões 7.23.0 a 7.23.2
Pelican versões 7.24.0 a 7.24.1
**Description**
Um problema de escalonamento de privilégios existe na Interface do Usuário Web (WebUI) que permite que qualquer usuário autenticado via OAuth obtenha privilégios de administrador sob configurações específicas. Isso ocorre quando os logins OIDC estão habilitados e o invasor conhece ou adivinha um identificador de administrador para um administrador que ainda não tenha feito login na WebUI. O problema é particularmente relevante quando as seguintes variáveis de configuração estão habilitadas:
- `Server.UIAdminUsers`: afetado se os usuários administradores listados ou a conta de administrador padrão não tiverem feito login anteriormente.
- `Server.AdminGroups`: afetado se `Issuer.GroupSource` estiver definido como `internal` e um administrador do grupo não tiver feito login anteriormente.
Um invasor pode criar registros no banco de dados que lhe concedem privilégios de administrador em logins subsequentes, permitindo-lhe modificar configurações do servidor, criar tokens de API persistentes e alterar senhas de administrador. Dependendo do serviço, isso pode levar a altos riscos de adulteração de dados, como modificar configurações para apontar para registros diferentes, envenenar namespaces de toda a federação ou expor caminhos protegidos.
**Recommendations**
Atualize para a versão 7.21.5 ou posterior para aqueles na série 7.21.
Atualize para a versão 7.22.3 ou posterior para aqueles na série 7.22.
Atualize para a versão 7.23.3 ou posterior para aqueles na série 7.23.
Atualize para a versão 7.24.2 ou posterior para aqueles na série 7.24.
Como solução temporária, desative a configuração vulnerável removendo ou comentando as definições `Server.UIAdminUsers` e `Server.AdminGroups` no arquivo `pelican.yaml`.