Plataforma
other
Componente
fullstep
Corrigido em
5.0.1
A vulnerabilidade CVE-2026-5749 afeta o Fullstep V5 nas versões de 5.0.0 a 5.30.07. Esta falha de segurança reside na falta de controles de acesso adequados durante o processo de registro, permitindo que usuários não autenticados obtenham um token JWT válido. A exploração bem-sucedida pode levar à exposição de informações confidenciais, uma vez que o atacante possua um token válido para interagir com as APIs autenticadas.
O impacto primário desta vulnerabilidade é a potencial exposição de dados confidenciais. Um atacante não autenticado, ao explorar a falha, pode obter um token JWT válido, permitindo acesso a recursos protegidos por autenticação. Isso pode resultar no acesso não autorizado a informações sensíveis, modificação de dados ou até mesmo a execução de ações em nome de usuários legítimos. A gravidade do impacto depende da sensibilidade dos dados acessíveis através das APIs e do nível de privilégios associados ao token JWT obtido. A ausência de controles de acesso adequados abre uma brecha significativa na segurança da aplicação, permitindo a contornação da autenticação e a escalada de privilégios.
A vulnerabilidade CVE-2026-5749 foi divulgada em 22 de abril de 2026. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A vulnerabilidade não está listada no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA. A probabilidade de exploração é considerada baixa devido à falta de informações sobre PoCs e exploração ativa, mas a ausência de uma correção imediata exige atenção e mitigação proativa.
Organizations utilizing Fullstep V5 in production environments, particularly those relying on its API for critical business functions, are at risk. Systems with weak API authentication policies or those lacking robust monitoring for suspicious JWT activity are especially vulnerable. Shared hosting environments where multiple users share the same Fullstep instance could also be affected.
disclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
A mitigação imediata para CVE-2026-5749 envolve a implementação de controles de acesso rigorosos no processo de registro do Fullstep V5. Isso inclui a validação estrita da identidade do usuário antes da emissão de um token JWT, bem como a limitação do escopo e dos privilégios associados a esses tokens. Como não há versão corrigida disponível, a implementação de regras de firewall (WAF) ou proxies reverso para bloquear requisições suspeitas e validar a autenticidade dos tokens JWT é crucial. Além disso, a revisão e o fortalecimento do código fonte para identificar e corrigir outras possíveis falhas de controle de acesso são recomendados. Após a implementação das medidas de mitigação, realize testes de penetração para verificar a eficácia das medidas e garantir que a vulnerabilidade foi devidamente corrigida.
Atualize para a última versão disponível de Fullstep para mitigar esta vulnerabilidade. Revise a documentação oficial de Fullstep para obter instruções específicas de atualização e para compreender completamente o impacto em seu ambiente. Implemente controles de acesso mais rigorosos para proteger os recursos da API.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5749 is a vulnerability in Fullstep V5 allowing unauthenticated users to obtain valid JWT tokens, potentially compromising API resource confidentiality.
If you are running Fullstep V5 versions 5.0.0 through 5.30.07, you are potentially affected by this vulnerability. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of Fullstep. Until a patch is available, implement temporary workarounds like stricter API authentication and monitoring.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is developed.
Refer to the Fullstep security advisories page for updates and official guidance regarding CVE-2026-5749.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.