CVE-2026-44426 in shellhubinformación

Resumen

por VulDB • 2026-05-14

ShellHub es una puerta de enlace SSH centralizada. Antes de la versión 0.24.2, la llamada GET /api/namespaces/:tenant devuelve el objeto completo del espacio de nombres —incluyendo la lista de miembros (IDs de usuario, correos electrónicos, roles), la configuración y el recuento de dispositivos— a cualquier solicitante autenticado mediante una API Key, para cualquier tenant, independientemente del ámbito del tenant de la propia API Key. El controlador omite condicionalmente la verificación de membresía cuando falta el ID de usuario (X-ID), que es precisamente el caso de la autenticación con API Key. Esta vulnerabilidad está corregida en la versión 0.24.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-06

Divulgación

2026-05-14

Moderación

aceptado

Artículo

VDB-363773

CPE

listo

CWE

CWE-639 (confirmado)

CVSS

6.5 (CNA)

EPSS

0.00038

KEV

Actividades

medio

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44426
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44426
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44426/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!