CVE-2026-25555
🟠 Łataj w tym tygodniu
Obejście uwierzytelnienia w OpenBullet2 umożliwia dostęp do konsoli admina bez ważnych danych.
CVSS
9.8
EPSS
0.1%
Exploit
none
Vendor
Opis źródłowy (NVD)
OpenBullet2 through version 0.3.2 contains an authentication bypass vulnerability in the API key authentication middleware that allows unauthenticated attackers to gain admin access by supplying an empty X-Api-Key header value. Attackers can exploit the middleware's comparison of the supplied header against an empty AdminApiKey default string to access the admin console and all API endpoints without valid credentials.
auth-bypass
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-06-08 17:16:41 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-09 13:51:18 UTC |
Referencje
- https://hackernoon.com/one-empty-header-to-admin-how-an-auth-bypass-breaks-openbullet2 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/openbullet2-authentication-bypass-via-x-api-key-header (disclosure@vulncheck.com)