PT-2026-22190 · Unknown · Openviking
Chia Min Jun Lennon
·
Publicado
2026-02-26
·
Atualizado
2026-03-03
·
CVE-2026-22207
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
OpenViking, versões anteriores a 0.1.19
Descrição
O software apresenta um problema de controle de acesso quebrado. Atacantes não autenticados podem obter privilégios de ROOT quando a configuração
root api key não está definida. Os atacantes podem enviar requisições a endpoints de API protegidos sem cabeçalhos de autenticação, permitindo acesso a funções administrativas. Essas funções incluem gerenciamento de contas, operações de recursos e configuração do sistema. Os endpoints de API vulneráveis são acessíveis sem autenticação adequada quando a root api key é omitida.Recomendações
Atualize para a versão 0.1.19 ou posterior.
Certifique-se de que a configuração
root api key está definida corretamente para evitar acesso não autorizado.Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openviking