Prassan10

**Nome do Software Vulnerável e Versões Afetadas** CubeAPM versão nightly-2025-08-01-1 **Descrição** O software permite que atacantes não autenticados injetem entradas de log arbitrárias em sistemas de produção. Isso é possível através do endpoint de API `/api/logs/insert/elasticsearch/ bulk`, que aceita dados de log em lote sem autenticação ou validação de entrada. A exploração bem-sucedida pode resultar em entradas de log falsas, envenenamento de log, ofuscação de alertas e potencial degradação de desempenho do pipeline de observabilidade. O problema afeta a plataforma principal e não se limita a configurações de implantação específicas. **Recomendações** Aplique autenticação ao endpoint de API `/api/logs/insert/elasticsearch/ bulk`. Implemente validação de entrada para os dados recebidos pelo endpoint de API `/api/logs/insert/elasticsearch/ bulk`.