PT-2026-60109 · Apollo · Apollo
Publicado
2026-07-13
·
Atualizado
2026-07-15
·
CVE-2026-59954
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apollo versões anteriores a 2.5.2
Description
O Apollo ConfigService pode permitir o acesso não autorizado a dados de configuração quando a autenticação por AccessKey ou chave de gerenciamento está habilitada. O problema ocorre porque o ConfigService pode aceitar uma variante não canônica de
appId durante a autenticação, o que pode levar o sistema a tratar a solicitação como se não houvesse segredos disponíveis e ignorar a verificação de assinatura. No entanto, o processamento de solicitações subsequentes ainda pode resolver essa variante para o aplicativo protegido devido a colações de banco de dados que tratam valores diferentes como equivalentes, como variantes de acentuação em colações insensíveis a acentos ou variantes de espaços finais em colações PAD SPACE. Isso permite que um invasor remoto não autenticado leia dados de configuração através dos endpoints /configs e /configfiles.Recommendations
Atualizar para a versão 2.5.2.
Correção
RCE
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apollo