CVE-2026-41859 in BOSHinfo

Zusammenfassung

von VulDB • 04.06.2026

Ein Netzwerk-Man-in-the-Middle zwischen nats-sync und dem BOSH-Director kann die Director-Anmeldeinformationen (Basic-Auth-Header oder UAA-Client-Geheimnis) stehlen und die VM-Liste, die in die NATS-Autorisierungsdatei geschrieben wird, manipulieren. Gestohlene Anmeldeinformationen gewähren administrativen Director-Zugriff. UsersSync#bosh_api_response_body erstellt für jeden Director-Aufruf (/info, /deployments, /deployments//vms) einen Net::HTTP-Client mit verify_mode = OpenSSL::SSL::VERIFY_NONE.

Betroffene Versionen: - BOSH: alle Versionen vor v282.1.9 (inklusive); behoben in v282.1.9 oder höher

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Vmware

Reservieren

22.04.2026

Veröffentlichung

04.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368234

CPE

bereit

EPSS

0.00010

KEV

nein

Aktivitäten

low

Sektor

Chemical, Telecommunication, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41859
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41859
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41859/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!