V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-32255
CVE
ВысокийПодтвержденаЭксплойт есть

Kan - это инструмент управления проектами с открытым исходным кодом. В версиях 0.5.4 и ниже конечная точка /api/download/attatchment не име…

CVSS
8.6
Высокий
EPSS
0.10
p95
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Kan - это инструмент управления проектами с открытым исходным кодом. В версиях 0.5.4 и ниже конечная точка /api/download/attatchment не имеет аутентификации и не имеет проверки URL. Конечная точка загрузки прикрепления принимает параметр запроса URL-адреса, поставляемый пользователем, и передает его непосредственно на сторону сервера, и возвращает полный орган ответа. Неаутентифицированный злоумышленник может использовать это для создания HTTP-запросов с сервера на внутренние службы, конечных точек облачных метаданных или частных сетевых ресурсов. Эта проблема исправлена в версии 0,5.5. Чтобы обойти эту проблему, заблокируйте или ограничьте доступ к /api/download/attatchment на обратном уровне прокси (nginx, Cloudflare и т.д.).

Теги · CWE
Без аутентификации
CWE-918
CAPEC-664
Затронутые продукты
Kan < 0.5.5
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.101 · p95
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2026-32255
github-poc · https://github.com/kOaDT/poc-cve-2026-32255
Enterprise
Затронутые продукты
ПродуктВендорСтатус
kan*Отслеживается