Krytyczna luka uwierzytelniania w Gorse przed wersją 0.5.10 umożliwia nieautoryzowany dostęp do danych

Luka w Gorse przed 0.5.10 pozwala na nieautoryzowany dostęp do danych i ich nadpisanie. Zalecana szybka aktualizacja i zmiana konfiguracji admin_api_key.
CVE-2026-56782CVSS 9.3General

Krytyczna luka uwierzytelniania w Gorse przed wersją 0.5.10 umożliwia nieautoryzowany dostęp do danych

Luka w Gorse przed 0.5.10 pozwala na nieautoryzowany dostęp do danych i ich nadpisanie. Zalecana szybka aktualizacja i zmiana konfiguracji admin_api_key.

CVSS
9.3 CRITICAL
EPSS
85.8%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Gorse przed wersją 0.5.10 występuje luka umożliwiająca ominięcie uwierzytelniania na endpointach /api/dump i /api/restore, gdy admin_api_key jest pusty (domyślna konfiguracja). Atakujący zdalni mogą uzyskać dostęp do całej bazy danych lub ją nadpisać bez uwierzytelnienia.

Wpływ biznesowy

Luka ta pozwala na wyciek lub całkowite nadpisanie danych użytkowników, elementów i opinii zawierających informacje osobowe, co stanowi poważne zagrożenie dla prywatności i integralności danych. Operatorzy IT i właściciele infrastruktury powinni traktować tę podatność jako krytyczną, gdyż może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania klientów.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Gorse do wersji 0.5.10 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy sprawdzić i zmienić konfigurację admin_api_key na wartość niepustą, ograniczyć dostęp do endpointów /api/dump i /api/restore oraz monitorować logi pod kątem podejrzanej aktywności. Priorytetowo traktuj przegląd i wdrożenie poprawek bezpieczeństwa.

Źródła