प्लेटफ़ॉर्म
java
घटक
org.open-metadata:openmetadata-sdk
में ठीक किया गया
1.11.9
1.11.8
CVE-2026-26010 एक उच्च-गंभीरता वाली भेद्यता है जो org.open-metadata:openmetadata-sdk में पाई गई है। यह भेद्यता /api/v1/ingestionPipelines एंडपॉइंट के माध्यम से JWT (JSON वेब टोकन) को लीक करती है, जिससे हमलावरों को उच्च विशेषाधिकार प्राप्त खातों तक पहुंच प्राप्त करने की अनुमति मिलती है। प्रभावित संस्करण 1.11.7 और उससे पहले के हैं। इस समस्या को संस्करण 1.11.8 में ठीक कर दिया गया है।
इस भेद्यता का शोषण करने वाला एक हमलावर ingestion-bot द्वारा उपयोग किए जाने वाले JWT को प्राप्त कर सकता है। यह JWT, आमतौर पर 'Ingestion Bot Role' के साथ, हमलावर को OpenMetadata इंस्टेंस में विनाशकारी परिवर्तन करने और संवेदनशील डेटा तक पहुंचने की अनुमति देगा। इसमें नमूना डेटा और सेवा मेटाडेटा शामिल हो सकता है जो भूमिकाओं और नीतियों के आधार पर अन्यथा अनुपलब्ध होगा। इस भेद्यता का उपयोग डेटा लीक, अनधिकृत पहुंच और सिस्टम के नियंत्रण को प्राप्त करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह रीड-ओनली उपयोगकर्ताओं को भी प्रभावित करती है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
CVE-2026-26010 को सार्वजनिक रूप से 2026-02-11 को प्रकट किया गया था। एक सार्वजनिक प्रमाण-अवधारणा (PoC) उपलब्ध है, जो इस भेद्यता के शोषण की संभावना को बढ़ाता है। इस समय, सक्रिय शोषण के बारे में कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, इसका शोषण होने का जोखिम है। यह भेद्यता CISA KEV सूची में शामिल होने की प्रतीक्षा कर रही है।
Organizations utilizing OpenMetadata for data governance and metadata management are at risk. Specifically, deployments with read-only user accounts that have access to the /api/v1/ingestionPipelines endpoint are particularly vulnerable. Environments relying on the 'Ingestion Bot' role for automated data ingestion processes are also at heightened risk, as a compromised JWT could disrupt these critical workflows.
• java / server: Monitor OpenMetadata access logs for requests to /api/v1/ingestionPipelines originating from read-only user accounts. Look for unusual patterns or large numbers of requests.
• generic web: Use curl to test the /api/v1/ingestionPipelines endpoint with a read-only user's credentials and examine the response headers for JWT tokens.
curl -H "Authorization: Bearer <read_only_jwt>" https://<openmetadata_url>/api/v1/ingestionPipelinesdisclosure
poc
patch
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-26010 को कम करने के लिए, तुरंत संस्करण 1.11.8 में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, /api/v1/ingestionPipelines एंडपॉइंट तक पहुंच को सख्त करें और केवल अधिकृत उपयोगकर्ताओं को ही पहुंच प्रदान करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करें जो JWT लीक का पता लगाते हैं और उन्हें ब्लॉक करते हैं। OpenMetadata के लॉग की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, /api/v1/ingestionPipelines एंडपॉइंट के माध्यम से JWT लीक करने का प्रयास करके सत्यापित करें।
OpenMetadata को संस्करण 1.11.8 या उच्चतर में अपडेट करें। यह संस्करण JWTs के रिसाव के माध्यम से अनधिकृत उपयोगकर्ताओं को उच्च विशेषाधिकार प्राप्त खातों तक पहुंचने की अनुमति देने वाले भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26010 एक भेद्यता है जो /api/v1/ingestionPipelines एंडपॉइंट के माध्यम से JWT को लीक करती है, जिससे हमलावरों को उच्च विशेषाधिकार प्राप्त खातों तक पहुंच प्राप्त करने की अनुमति मिलती है।
यदि आप org.open-metadata:openmetadata-sdk के संस्करण 1.11.7 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2026-26010 को ठीक करने के लिए, तुरंत संस्करण 1.11.8 में अपग्रेड करें।
वर्तमान में सक्रिय शोषण के बारे में कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता के कारण, इसका शोषण होने का जोखिम है।
कृपया OpenMetadata की आधिकारिक वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।