Plataforma
linux
Componente
feast-feature-server
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos en el punto final /read-document del Feast Feature Server. Esta falla de seguridad permite a un atacante remoto no autenticado leer cualquier archivo al que tenga acceso el proceso del servidor. El envío de una solicitud HTTP POST especialmente diseñada puede eludir las restricciones de acceso previstas, lo que podría resultar en la recuperación de archivos del sistema, configuraciones de aplicaciones e incluso credenciales sensibles.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante comprometer la confidencialidad de los datos almacenados en el servidor Feast Feature Server. Un atacante podría acceder a archivos de configuración que contengan contraseñas, claves API u otra información confidencial. Además, la capacidad de leer archivos del sistema podría proporcionar información valiosa para la planificación de ataques posteriores, como la identificación de rutas de acceso a bases de datos o la recopilación de información sobre la arquitectura del sistema. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el potencial de impacto, ya que cualquier atacante externo con acceso a la red puede intentar la explotación.
La vulnerabilidad ha sido publicada el 2026-03-20. No se ha reportado explotación activa en campañas conocidas, pero la falta de autenticación y la relativa simplicidad de la explotación la convierten en un objetivo atractivo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La puntuación CVSS de 7.5 (HIGH) indica una probabilidad significativa de explotación si no se toman medidas de mitigación.
Organizations deploying Feast Feature Server in production environments are at risk. Specifically, those running unpatched instances or those with limited access controls around the /read-document endpoint are particularly vulnerable. Shared hosting environments where Feast Feature Server is deployed alongside other applications may also be at increased risk due to potential cross-tenant access.
• linux / server:
journalctl -u feast-feature-server -g "/read-document"• generic web:
curl -I <feast_feature_server_url>/read-document• generic web:
grep -r "/read-document" /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
Dado que no se ha especificado una versión corregida, la mitigación inmediata debe centrarse en limitar el acceso al punto final /read-document. Implemente controles de acceso estrictos para restringir el acceso a este punto final solo a usuarios o servicios autorizados. Además, implemente una validación rigurosa de la entrada para garantizar que los nombres de archivo proporcionados por el usuario no permitan el acceso a archivos fuera del directorio previsto. Considere la posibilidad de utilizar un proxy inverso o un cortafuegos de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Monitoree los registros del servidor en busca de patrones de acceso inusuales o intentos de acceder a archivos sensibles.
Actualice Red Hat OpenShift AI (RHOAI) a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada en el Feast Feature Server.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23536 is a HIGH severity vulnerability allowing unauthenticated attackers to read files on a Feast Feature Server. It impacts versions prior to the patch release, potentially exposing sensitive data.
If you are running Feast Feature Server prior to the patched version, you are potentially affected. Assess your deployment and upgrade as soon as possible.
The primary fix is to upgrade to the latest patched version of Feast Feature Server. Until then, consider WAF rules or access control restrictions.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the official Feast Feature Server security advisories on their website or GitHub repository for the latest information and patch details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.