Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità CVE-2026-57855 è stata scoperta in Cockpit CMS, che consente a utenti autenticati di eseguire operazioni su bucket di archiviazione senza autorizzazione. Ciò è dovuto alla mancanza di controlli di autorizzazione nell'API di archiviazione dei bucket (/system/buckets/api). La classe api() in modules/System/Controller/Buckets.php esegue comandi di bucket (ls, upload, removefiles, rename, createfolder) senza verificare i ruoli o le autorizzazioni degli utenti. Pertanto, qualsiasi utente autenticato può eseguire tutte le operazioni di bucket su qualsiasi bucket denominato, compresi quelli destinati all'uso esclusivo degli amministratori.
Un attaccante può sfruttare questa vulnerabilità per eseguire operazioni non autorizzate su bucket di archiviazione, come l'upload di file non autorizzati, la rimozione di file importanti o la creazione di cartelle non autorizzate. Ciò può portare a violazioni della sicurezza dei dati e a problemi di integrità dei dati. I sistemi che utilizzano Cockpit CMS sono a rischio, in particolare quelli che utilizzano bucket di archiviazione per scopi amministrativi.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di applicare patch di sicurezza o di implementare workaround per limitare l'accesso ai bucket di archiviazione. Inoltre, è importante verificare le autorizzazioni degli utenti e implementare controlli di accesso per garantire che solo gli utenti autorizzati possano eseguire operazioni su bucket di archiviazione. In assenza di patch specifiche, è consigliabile adottare pratiche di sicurezza generali, come l'uso di autenticazione a due fattori e la limitazione dell'accesso ai sistemi sensibili.
La vulnerabilità CVE-2026-57855 è una vulnerabilità di autorizzazione in Cockpit CMS che consente a utenti autenticati di eseguire operazioni su bucket di archiviazione senza autorizzazione.
L'impatto di questa vulnerabilità è alto, poiché un attaccante può eseguire operazioni non autorizzate su bucket di archiviazione, compromettendo la sicurezza dei dati e l'integrità dei sistemi.
Per proteggersi da questa vulnerabilità, è consigliabile applicare patch di sicurezza, implementare workaround per limitare l'accesso ai bucket di archiviazione e adottare pratiche di sicurezza generali, come l'uso di autenticazione a due fattori e la limitazione dell'accesso ai sistemi sensibili.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.