Plataforma
other
Componente
fullstep
Corregido en
5.0.1
El CVE-2026-5749 describe una vulnerabilidad de control de acceso deficiente en Fullstep V5. Esta falla permite a usuarios no autenticados obtener un token JWT (JSON Web Token) válido, lo que les permite interactuar con recursos de la API que requieren autenticación. El impacto principal es el posible compromiso de la confidencialidad de los recursos API, ya que un atacante con un token válido podría acceder a información sensible. Esta vulnerabilidad afecta a las versiones 5.0.0 hasta la 5.30.07 de Fullstep. Se recomienda implementar medidas de seguridad para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado acceder a recursos protegidos de la API de Fullstep. Al obtener un token JWT válido, el atacante podría realizar acciones en nombre de un usuario autenticado, potencialmente comprometiendo la confidencialidad de datos sensibles almacenados o procesados por la API. El alcance del impacto depende de los permisos asociados al token JWT obtenido y de la sensibilidad de los datos a los que se puede acceder a través de la API. Un escenario de ataque podría implicar la extracción de información de usuarios, la modificación de datos críticos o incluso la ejecución de acciones administrativas no autorizadas, dependiendo de la configuración de la API y los permisos del token. La falta de una validación adecuada del acceso a los recursos API es la raíz del problema.
Actualmente, no se dispone de información pública sobre campañas activas de explotación del CVE-2026-5749. La vulnerabilidad ha sido publicada el 2026-04-22, por lo que existe la posibilidad de que se desarrollen pruebas de concepto (PoC) públicas en el futuro. La probabilidad de explotación se considera moderada, dado que la vulnerabilidad requiere un conocimiento técnico para ser explotada y la obtención de un token JWT válido. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing Fullstep V5 in production environments, particularly those relying on its API for critical business functions, are at risk. Systems with weak API authentication policies or those lacking robust monitoring for suspicious JWT activity are especially vulnerable. Shared hosting environments where multiple users share the same Fullstep instance could also be affected.
disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
La mitigación principal para el CVE-2026-5749 implica fortalecer el control de acceso a los recursos de la API de Fullstep. Se recomienda implementar una validación rigurosa de los tokens JWT antes de permitir el acceso a cualquier recurso. Esto incluye verificar la firma del token, la fecha de expiración y los permisos asociados. Además, es crucial restringir el acceso a los recursos API solo a usuarios autenticados y autorizados. Si la actualización a una versión corregida no es inmediatamente posible, se puede implementar una solución temporal mediante la configuración de un proxy inverso o una capa de seguridad que valide los tokens JWT antes de que lleguen a la API. Después de implementar las medidas de seguridad, es fundamental verificar su efectividad mediante pruebas de penetración y auditorías de seguridad.
Actualice a la última versión disponible de Fullstep para mitigar esta vulnerabilidad. Revise la documentación oficial de Fullstep para obtener instrucciones específicas de actualización y para comprender completamente el impacto en su entorno. Implemente controles de acceso más estrictos para proteger los recursos de la API.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5749 is a vulnerability in Fullstep V5 allowing unauthenticated users to obtain valid JWT tokens, potentially compromising API resource confidentiality.
If you are running Fullstep V5 versions 5.0.0 through 5.30.07, you are potentially affected by this vulnerability. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of Fullstep. Until a patch is available, implement temporary workarounds like stricter API authentication and monitoring.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is developed.
Refer to the Fullstep security advisories page for updates and official guidance regarding CVE-2026-5749.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.