V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-5199Низкий

Пользователь, позволяющий, управляемый злоумышленником, может сигнализировать, удалять и сбрасывать рабочие процессы или действия в простра…

CVSS
2.3
Низкий
EPSS
0.00
p15
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Пользователь, позволяющий, управляемый злоумышленником, может сигнализировать, удалять и сбрасывать рабочие процессы или действия в пространстве имен жертвы в том же кластере. Эксплуатация требует, чтобы злоумышленник знал или угадывал конкретный идентификатор рабочего процесса жертвы и, для операций сигнала, имена сигналов. Это было связано с ошибкой, введенной во Временный сервер v1.29.0, которая непреднамеренно позволила злоумышленнику контролировать значение имени в пространстве имен вместо того, чтобы использовать собственное значение имен сервера в коде активности пакета. Партийная деятельность подтвердила идентификатор пространства имен, но не перекрестно проверяла имя пространства имен по отношению к связанному пространству имен работника, позволяя привилегированным полномочиям работника на имя работать на произвольном пространстве имен. Эксплуатация требует конфигурации сервера, где внутренние компоненты имеют межименное пространство, такую как развертывание службы внутреннего фронта или эквивалентной авторизации на основе TLS для внутренних идентификаторов. Эта уязвимость также повлияла на Temporal Cloud, когда атакующий и имен жертвы были на одной ячейке с теми же предварительными условиями, что и самостоятельные кластеры.

Теги · CWE
CWE-639
Вектор CVSS
CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:U/V:X/RE:M/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: N
Отсутствует (N)
Целостность уязвимой системы
VI: L
Низкое (L)
Доступность уязвимой системы
VA: L
Низкое (L)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: L
Низкое (L)
Доступность последующей системы
SA: L
Низкое (L)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: N
N
au
AU: Y
Y
r
R: U
U
v
V: X
X
re
RE: M
M
u
U: X
X
Индикаторы эксплуатации
EPSS
0.002 · p15
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.