juicedata juicefs bis 1.3.1 /debug/pprof/cmdline Local Privilege Escalation

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.4$0-$5k1.41+

Zusammenfassunginfo

In juicedata juicefs bis 1.3.1 wurde eine problematische Schwachstelle ausgemacht. Dabei betrifft es einen unbekannter Codeteil der Datei /debug/pprof/cmdline. Durch die Manipulation mit unbekannten Daten kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2026-59092 bekannt. Der Angriff muss lokal passieren. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.

Detailsinfo

Eine problematische Schwachstelle wurde in juicedata juicefs bis 1.3.1 entdeckt. Es geht hierbei um ein unbekannter Codeblock der Datei /debug/pprof/cmdline. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-489. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

JuiceFS through 1.3.1, fixed in commit a46979c, contains an authentication bypass vulnerability that allows unauthenticated remote attackers to access sensitive debug and metrics endpoints by exploiting improper handler registration on the shared http.DefaultServeMux. Attackers can request the /debug/pprof/cmdline endpoint to obtain the process command line containing metadata engine connection strings with database credentials, granting full read/write access to filesystem metadata, while other pprof handlers leak internal state and profiling handlers enable denial of service.

Die Schwachstelle wurde durch George Chen als 7213 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 02.07.2026 als CVE-2026-59092 statt. Sie ist leicht ausnutzbar. Der Angriff muss lokal passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Ein Upgrade vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches a46979cdd4082217081ee99b931ddc53d038e47a beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.4

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 7.7
CNA Vector (VulnCheck): 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Local Privilege Escalation
CWE: CWE-489
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Patch: a46979cdd4082217081ee99b931ddc53d038e47a

Timelineinfo

02.07.2026 Advisory veröffentlicht
02.07.2026 +0 Tage CVE zugewiesen
02.07.2026 +0 Tage VulDB Eintrag erstellt
02.07.2026 +0 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: github.com

Advisory: 7213
Person: George Chen
Status: Bestätigt

CVE: CVE-2026-59092 (🔒)
GCVE (CVE): GCVE-0-2026-59092
GCVE (VulDB): GCVE-100-375986

Eintraginfo

Erstellt: 02.07.2026 22:35
Anpassungen: 02.07.2026 22:35 (78)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!