CVE-2026-42571

Nome do Software Vulnerável e Versões Afetadas Pelican versões 7.21.0 a 7.21.4 Pelican versões 7.22.0 a 7.22.2 Pelican versões 7.23.0 a 7.23.2 Pelican versões 7.24.0 a 7.24.1

Description Um problema de escalonamento de privilégios existe na Interface do Usuário Web (WebUI) que permite que qualquer usuário autenticado via OAuth obtenha privilégios de administrador sob configurações específicas. Isso ocorre quando os logins OIDC estão habilitados e o invasor conhece ou adivinha um identificador de administrador para um administrador que ainda não tenha feito login na WebUI. O problema é particularmente relevante quando as seguintes variáveis de configuração estão habilitadas:

Um invasor pode criar registros no banco de dados que lhe concedem privilégios de administrador em logins subsequentes, permitindo-lhe modificar configurações do servidor, criar tokens de API persistentes e alterar senhas de administrador. Dependendo do serviço, isso pode levar a altos riscos de adulteração de dados, como modificar configurações para apontar para registros diferentes, envenenar namespaces de toda a federação ou expor caminhos protegidos.

Recommendations Atualize para a versão 7.21.5 ou posterior para aqueles na série 7.21. Atualize para a versão 7.22.3 ou posterior para aqueles na série 7.22. Atualize para a versão 7.23.3 ou posterior para aqueles na série 7.23. Atualize para a versão 7.24.2 ou posterior para aqueles na série 7.24. Como solução temporária, desative a configuração vulnerável removendo ou comentando as definições Server.UIAdminUsers e Server.AdminGroups no arquivo pelican.yaml.