Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-40965 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-06-02 |
| Producent | Cloud Foundry |
| Produkt | UAA |
| CVSS Score | 10.0 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Cloud Foundry UAA w wersjach od v76.12.0 do v78.12.0 jest podatny na ujawnienie klucza prywatnego. Serwer zawiera podatność, w której klucze prywatne EC (Elliptic Curve) są przypadkowo ujawniane przez publiczny endpoint /token_keys. Endpoint ten ma dostarczać publiczny materiał kluczy do weryfikacji tokenów JWT, ale błędnie ujawnia komponenty klucza prywatnego dla kluczy EC. Podatność dotyczy wdrożeń używających kluczy EC do podpisywania tokenów JWT. Podatność nie dotyczy konfiguracji opartych na kluczach RSA…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu UAA firmy Cloud Foundry. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
