PT-2026-52643 · Lemur · Lemur

Publicado

2026-06-25

·

Atualizado

2026-06-25

·

CVE-2026-48508

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Lemur (versões afetadas não especificadas)
Description Existe uma falha de bypass de autorização nas classes StrictRolePermission e AuthorityCreatorPermission em lemur/auth/permissions.py. Quando as flags de configuração LEMUR STRICT ROLE ENFORCEMENT e ADMIN ONLY AUTHORITY CREATION não estão definidas, elas assumem o valor padrão False, resultando em um conjunto vazio de requisitos. Como a função flask principal.Permission.allows() retorna True quando os requisitos estão vazios, qualquer usuário autenticado, incluindo aqueles com a função de menor privilégio read-only, pode ignorar as verificações de autorização.
Isso permite que usuários não autorizados criem Autoridades Certificadoras (CAs) raiz, façam upload de certificados arbitrários, criem entradas de domínio e gerenciem notificações, o que pode levar a Server-Side Request Forgery (SSRF).
API Endpoints:
  • '/api/1/authorities' (POST)
  • '/api/1/certificates/upload' (POST)
  • '/api/1/pending certificates/{id}/upload' (POST)
  • '/api/1/notifications' (POST)
  • '/api/1/notifications/{id}' (PUT/DELETE)
  • '/api/1/domains' (POST)
Vulnerable Parameters or Variables:
  • ADMIN ONLY AUTHORITY CREATION
  • LEMUR STRICT ROLE ENFORCEMENT
Function Names:
  • allows()
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Defina as flags de configuração ADMIN ONLY AUTHORITY CREATION e LEMUR STRICT ROLE ENFORCEMENT como True na configuração da aplicação. Evite definir ADMIN ONLY AUTHORITY CREATION ou LEMUR STRICT ROLE ENFORCEMENT como False para evitar a reintrodução do bypass.

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48508
GHSA-QCQW-JWXC-2HQG

Produtos afetados

Lemur