Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Gravitl›Приложениеnvd,anchore_overrides

Netmaker

Уязвимости

4

Эксплуатируемые

0

Макс. CVSS

8.7

Макс. EPSS

0.00366

Распределение по критичности

Критический

0

Высокий

3

Средний

1

Низкий

0

Затронутые диапазоны версий

< 1.2.0< 1.5.0

Также сопоставлено как (исходные строки): netmaker

Топ уязвимостей

CVE-2026-29771Netmaker создает сети с WireGuard. До версии 1.2.0 конечные точки /api/server/sutdown позволяют прекратить процесс сервера Netmaker с помощью syscall.SIGINT. Это позволяет любому пользователю многократно отключать сервер, вызывая циклический отказ в обслуживании с интервалами перезапуска примерно 3 секунд. Этот вопрос был исправлен в версии 1.2.0.

CVE-2026-29196Netmaker создает сети с WireGuard. До версии 1.5.0 пользователь, назначенный ролью пользователя платформы, может получить закрытые ключи WireGuard из всех конфигураций проводов в сети, позвонив по вызову GET /api/extclients/{network} или GET /api/nodes/{network}. В то время как пользовательский интерфейс Netmaker ограничивает видимость, конечные точки API возвращают полные записи, включая закрытые ключи, без фильтрации на основе права собственности запрашивающего пользователя. Этот вопрос был исправлен в версии 1.5.0.

CVE-2026-29194Netmaker создает сети с WireGuard. До версии 1.5.0 промежуточная посуда Authorize в Netmaker неправильно проверяет токены хостовых JWT. Когда маршрут разрешает аутентификацию хоста (hostAllowed=true), действительный токен хоста обходит все последующие проверки авторизации, не проверяя, что хост уполномочен на доступ к конкретному запрашиваемому ресурсу. Любое лицо, обладающее знанием идентификаторов объектов (идентификаторы узлов, идентификаторы хоста), может создать запрос с произвольным действительным токеном хоста для доступа, изменения или удаления ресурсов, принадлежащих другим хостам. Поврежденные конечные точки включают в себя поиск информации об узле, удаление хоста, передачу сигнала MQTT, резервные обновления хоста и отказоустойчивые операции. Этот вопрос был исправлен в версии 1.5.0.

CVE-2026-29195Netmaker создает сети с WireGuard. До версии 1.5.0 обработчику пользовательских обновлений (PUT /api/username}) не хватает проверки, чтобы предотвратить назначение пользователем admin-ролевой роли супер-администратора во время обновлений учетной записи. Хотя код правильно блокирует администратора от назначения роли администратора другому пользователю, он не включает эквивалентную проверку роли супер-администра. Этот вопрос был исправлен в версии 1.5.0.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →