Impatto Sistemico

Alto (67.43)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-26010 con gravità “alta” presente in OpenMetadata, piattaforma open source per la gestione di metadati. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di accedere a informazioni sensibili e di elevare i propri privilegi sui sistemi interessati.

Tipologia

• Information Disclosure
• Privilege Escalation

Descrizione e potenziali impatti

La vulnerabilità è dovuta a un’insufficiente protezione delle informazioni sensibili nelle risposte API, che restituiscono token JWT (JSON Web Token) associati a un account di servizio, anche a utenti con privilegi limitati. Le richieste verso l’endpoint /api/v1/ingestionPipelines espongono i token JWT dell’account di servizio ( ingestion-bot ) utilizzati per l’integrazione con sistemi come Glue, Redshift e Postgres. Questi token possono essere acquisiti anche da utenti con permessi di sola lettura, consentendo a un utente maleintenzionato di autenticarsi come l’account di servizio, ereditandone i privilegi e accedendo a informazioni o funzionalità normalmente non disponibili.

Prodotti e/o versioni affette

• OpenMetadata, versioni precedenti alla 1.11.8

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.