CVE-2026-45021

Nome do Software Vulnerável e Versões Afetadas Kuma versões anteriores a 2.7.25 Kuma versões anteriores a 2.9.15 Kuma versões anteriores a 2.11.13 Kuma versões anteriores a 2.12.10 Kuma versões anteriores a 2.13.5

Description A configuração padrão do kuma-cp vaza o token de bootstrap do administrador e as chaves de assinatura para qualquer página da web que o operador visite enquanto o plano de controle estiver acessível pelo navegador. Isso ocorre porque CorsAllowedDomains: [".*"] reflete qualquer Origin, e LocalhostIsAdmin: true promove requisições de 127.0.0.1 para mesh-system:admin. Um fetch() de origem cruzada a partir de uma página maliciosa pode retornar o JWT do administrador e o material de assinatura.

Recommendations Atualize para a versão 2.7.25. Atualize para a versão 2.9.15. Atualize para a versão 2.11.13. Atualize para a versão 2.12.10. Atualize para a versão 2.13.5. Defina KUMA API SERVER AUTHN LOCALHOST IS ADMIN=false após recuperar o token de administrador. Defina KUMA API SERVER CORS ALLOWED DOMAINS para uma lista de permissões explícita, como http://localhost:5681,http://127.0.0.1:5681. Evite executar o kuma-cp em uma máquina usada para navegar em sites não confiáveis.