PT-2026-60109 · Apollo · Apollo

Publicado

2026-07-13

·

Atualizado

2026-07-15

·

CVE-2026-59954

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Apollo versões anteriores a 2.5.2
Description O Apollo ConfigService pode permitir o acesso não autorizado a dados de configuração quando a autenticação por AccessKey ou chave de gerenciamento está habilitada. O problema ocorre porque o ConfigService pode aceitar uma variante não canônica de appId durante a autenticação, o que pode levar o sistema a tratar a solicitação como se não houvesse segredos disponíveis e ignorar a verificação de assinatura. No entanto, o processamento de solicitações subsequentes ainda pode resolver essa variante para o aplicativo protegido devido a colações de banco de dados que tratam valores diferentes como equivalentes, como variantes de acentuação em colações insensíveis a acentos ou variantes de espaços finais em colações PAD SPACE. Isso permite que um invasor remoto não autenticado leia dados de configuração através dos endpoints /configs e /configfiles.
Recommendations Atualizar para a versão 2.5.2.

Correção

RCE

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59954
GHSA-4W3Q-QPFQ-V992

Produtos afetados

Apollo