Plataforma
java
Componente
org.open-metadata:openmetadata-sdk
Corregido en
1.11.9
1.11.8
La vulnerabilidad CVE-2026-26010 afecta a org.open-metadata:openmetadata-sdk en versiones anteriores o iguales a 1.11.7. Esta vulnerabilidad permite la fuga de tokens JWT utilizados por el ingestion-bot, exponiendo cuentas con privilegios elevados. El impacto principal es la posibilidad de realizar cambios destructivos en la instancia de OpenMetadata y la fuga de datos sensibles, como metadatos de servicios. La solución es actualizar a la versión 1.11.8.
Un atacante puede explotar esta vulnerabilidad para obtener acceso a cuentas privilegiadas del ingestion-bot dentro de la plataforma OpenMetadata. Al obtener el token JWT, el atacante puede simular las acciones del bot, lo que le permite modificar la configuración de la plataforma, eliminar datos o acceder a información sensible. Esto podría incluir la manipulación de metadatos de bases de datos (como Athena o Redshift), la alteración de pipelines de ingestión de datos y, potencialmente, la extracción de datos de muestra o información de configuración crítica. La fuga de JWTs es un patrón de ataque común, similar a las vulnerabilidades que exponen tokens de autenticación en otras aplicaciones, lo que facilita la escalada de privilegios y el control de la infraestructura.
La vulnerabilidad fue publicada el 11 de febrero de 2026. Existe una prueba de concepto (PoC) disponible que demuestra la fuga de JWTs. La probabilidad de explotación se considera alta debido a la facilidad de la explotación y la disponibilidad del PoC. No se ha confirmado la explotación activa en entornos de producción, pero la vulnerabilidad está en el catálogo KEV de CISA, lo que indica un riesgo significativo. Se recomienda aplicar las mitigaciones lo antes posible.
Organizations utilizing OpenMetadata for data governance and metadata management are at risk. Specifically, deployments with read-only user accounts that have access to the /api/v1/ingestionPipelines endpoint are particularly vulnerable. Environments relying on the 'Ingestion Bot' role for automated data ingestion processes are also at heightened risk, as a compromised JWT could disrupt these critical workflows.
• java / server: Monitor OpenMetadata access logs for requests to /api/v1/ingestionPipelines originating from read-only user accounts. Look for unusual patterns or large numbers of requests.
• generic web: Use curl to test the /api/v1/ingestionPipelines endpoint with a read-only user's credentials and examine the response headers for JWT tokens.
curl -H "Authorization: Bearer <read_only_jwt>" https://<openmetadata_url>/api/v1/ingestionPipelinesdisclosure
poc
patch
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.11.8 de org.open-metadata:openmetadata-sdk, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la API /api/v1/ingestionPipelines a usuarios autorizados y con el mínimo privilegio necesario. Implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear solicitudes sospechosas que intenten acceder a esta API con credenciales no válidas. Monitorear los logs de la aplicación en busca de patrones inusuales de acceso o solicitudes a la API que puedan indicar un intento de explotación. Después de la actualización, verificar que los tokens JWT se gestionen correctamente y que no se filtren a través de la API.
Actualice OpenMetadata a la versión 1.11.8 o superior. Esta versión corrige la vulnerabilidad que permite a usuarios no autorizados acceder a cuentas con privilegios elevados a través de la fuga de JWTs.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26010 is a HIGH severity vulnerability in OpenMetadata SDK versions ≤1.11.7 that allows read-only users to extract JWT tokens used by ingestion bots, potentially granting unauthorized access.
If you are using OpenMetadata SDK versions 1.11.7 or earlier, you are potentially affected by this vulnerability. Assess your environment and prioritize upgrading.
Upgrade to OpenMetadata SDK version 1.11.8 or later to remediate the JWT leakage vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While there is no confirmed active exploitation, a public proof-of-concept exists, increasing the risk of exploitation. Proactive mitigation is recommended.
Refer to the official OpenMetadata security advisory for detailed information and updates regarding CVE-2026-26010: [https://github.com/open-metadata/openmetadata/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.