Критична уразливість обходу автентифікації в Gorse до версії 0.5.10
Уразливість CVE-2026-56782 в Gorse дозволяє неавторизованим користувачам отримати доступ до бази даних. Рекомендується негайно оновити та посилити безпеку.
- CVSS
- 9.3 CRITICAL
- EPSS
- 85.8%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Gorse до версії 0.5.10 виявлено уразливість обходу автентифікації в кінцевих точках /api/dump та /api/restore, що дозволяє неавторизованим зловмисникам отримати доступ до захищеного функціоналу при порожньому admin_api_key, що є налаштуванням за замовчуванням. Зловмисники можуть викрасти всю базу даних або повністю її перезаписати без автентифікації.
Бізнес-вплив
Ця уразливість становить серйозну загрозу для власників інфраструктури, оскільки дозволяє неавторизованим особам отримати доступ до конфіденційних даних користувачів та іншої важливої інформації. Можливість повного перезапису бази даних може призвести до втрати даних і порушення роботи сервісу, що негативно вплине на бізнес-процеси та довіру клієнтів.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень від розробників Gorse та застосувати патчі, якщо вони доступні. Якщо оновлення недоступні, слід обмежити доступ до вразливих API, встановити надійний admin_api_key, переглянути журнали доступу на предмет підозрілої активності та пріоритезувати заходи безпеки для захисту даних.