HIGHCVE-2026-26010CVSS 7.6

OpenMetadata 中存在信息泄露的 JWT，暴露了具有高权限的机器人用户

Q: 什么是 CVE-2026-26010 — JWT 泄露漏洞在 OpenMetadata SDK 中？

CVE-2026-26010 是 OpenMetadata SDK 中一个高危漏洞，允许攻击者通过读取 `/api/v1/ingestionPipelines` 接口的调用，获取 ingestion-bot 使用的 JWT，从而获得高权限账户的访问权限。

Q: 我是否受到 CVE-2026-26010 在 OpenMetadata SDK 中的影响？

如果您使用的是 OpenMetadata SDK 版本小于等于 1.11.7，则可能受到影响。请立即升级至 1.11.8 或更高版本。

Q: 如何修复 CVE-2026-26010 在 OpenMetadata SDK 中的漏洞？

升级至 OpenMetadata SDK 1.11.8 或更高版本。同时，限制对 `/api/v1/ingestionPipelines` 接口的访问，并审查 ingestion-bot 的权限。

Q: 在哪里可以找到 OpenMetadata 官方关于 CVE-2026-26010 的公告？

请访问 OpenMetadata 的官方网站或 GitHub 仓库，查找关于 CVE-2026-26010 的安全公告。

平台

java

组件

org.open-metadata:openmetadata-sdk

修复版本

1.11.9

1.11.8

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-26010 是 OpenMetadata SDK 中的一个 JWT 泄露漏洞。攻击者可以通过读取 /api/v1/ingestionPipelines 接口的调用，获取 ingestion-bot 使用的 JWT，从而获得高权限账户的访问权限。该漏洞影响 OpenMetadata SDK 版本小于等于 1.11.7 的用户，建议升级至 1.11.8 版本以修复。

影响与攻击场景

该漏洞的影响非常严重。攻击者利用泄露的 JWT 可以冒充 ingestion-bot，执行破坏性操作，例如修改 OpenMetadata 实例配置，甚至导致数据泄露。泄露的数据可能包括样本数据和与角色/策略相关的服务元数据。攻击者可以利用这些权限进行广泛的破坏，甚至可能导致服务不可用。由于该漏洞允许访问高权限账户，因此其潜在影响范围非常大，可能影响整个 OpenMetadata 实例的安全性。

利用背景

该漏洞已公开披露，并且存在公开的 PoC。目前尚不清楚是否存在活跃的利用活动，但由于漏洞的严重性和易于利用，建议尽快修复。该漏洞尚未被添加到 CISA KEV 目录，但由于其潜在影响，未来可能会被添加到 KEV 目录中。

哪些人处于风险中翻译中…

Organizations utilizing OpenMetadata for data governance and metadata management are at risk. Specifically, deployments with read-only user accounts that have access to the /api/v1/ingestionPipelines endpoint are particularly vulnerable. Environments relying on the 'Ingestion Bot' role for automated data ingestion processes are also at heightened risk, as a compromised JWT could disrupt these critical workflows.

检测步骤翻译中…

• java / server: Monitor OpenMetadata access logs for requests to /api/v1/ingestionPipelines originating from read-only user accounts. Look for unusual patterns or large numbers of requests. • generic web: Use curl to test the /api/v1/ingestionPipelines endpoint with a read-only user's credentials and examine the response headers for JWT tokens.

curl -H "Authorization: Bearer <read_only_jwt>" https://<openmetadata_url>/api/v1/ingestionPipelines

攻击时间线

2026-02-11Disclosure
disclosure
2026-02-11PoC
poc
2026-02-11Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件org.open-metadata:openmetadata-sdk

供应商osv

影响范围修复版本

< 1.11.8 – < 1.11.81.11.9

—1.11.8

弱点分类 (CWE)

CWE-269

时间线

已保留2026-02-09
发布日期2026-02-11
修改日期2026-02-18
EPSS 更新日期2026-03-23

缓解措施和替代方案

除了升级至 1.11.8 版本外，可以采取一些临时缓解措施。首先，限制对 /api/v1/ingestionPipelines 接口的访问，只允许必要的服务访问。其次，审查 ingestion-bot 的权限，确保其只拥有执行必要任务的最小权限集。如果升级过程出现问题，可以考虑回滚到之前的版本，并尽快修复升级问题。监控 OpenMetadata 日志，查找任何异常活动，例如未经授权的账户访问或配置更改。

修复方法

升级 OpenMetadata 到 1.11.8 或更高版本。此版本修复了允许未经授权的用户通过 JWT 泄露访问具有提升权限的帐户的漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-26010 — JWT 泄露漏洞在 OpenMetadata SDK 中？

CVE-2026-26010 是 OpenMetadata SDK 中一个高危漏洞，允许攻击者通过读取 /api/v1/ingestionPipelines 接口的调用，获取 ingestion-bot 使用的 JWT，从而获得高权限账户的访问权限。

我是否受到 CVE-2026-26010 在 OpenMetadata SDK 中的影响？