Pubblicato il 2026-06-30 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58449 è una critica vulnerabilità di esecuzione remota di codice (RCE) che colpisce sistemi con specifiche condizioni di deploy. La vulnerabilità si verifica a causa della mancanza di un allowlist per il parametro function body dell'endpoint /reindex, che può essere sfruttato da un attaccante remoto per eseguire codice arbitrario. La condizione di deploy richiede che l'API sia esposta senza token di autenticazione e che l'indice sia configurato come scrivibile.
Un attaccante remoto può sfruttare questa vulnerabilità per eseguire codice arbitrario sul server, come ad esempio utilizzare la funzione subprocess.getoutput, ottenendo così l'esecuzione remota di codice come processo del server durante il reindexing. Ciò può avere gravi conseguenze sulla sicurezza del sistema, come l'accesso non autorizzato a dati sensibili o la possibilità di eseguire azioni dannose.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile applicare il patch di sicurezza fornito dal vendor, che include la correzione della vulnerabilità e la configurazione di un token di autenticazione per l'API. Inoltre, è importante assicurarsi che l'indice sia configurato come non scrivibile e che l'API sia esposta solo con autenticazione. In generale, è sempre consigliabile mantenere il software aggiornato con le ultime patch di sicurezza e seguire le best practice per la sicurezza dei sistemi.
La vulnerabilità CVE-2026-58449 è una critica vulnerabilità di esecuzione remota di codice (RCE) che colpisce sistemi con specifiche condizioni di deploy.
Un attaccante remoto può sfruttare questa vulnerabilità inviando una richiesta all'endpoint /reindex con un parametro function body arbitrario, come ad esempio la funzione subprocess.getoutput.
Per proteggersi da questa vulnerabilità, è consigliabile applicare il patch di sicurezza fornito dal vendor, configurare un token di autenticazione per l'API e assicurarsi che l'indice sia configurato come non scrivibile.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.