CVE-2026-42202 in nova-toggle-5
요약
\~에 의해 VulDB • 2026. 05. 12.
nova-toggle-5는 인덱스에서 부울 값을 반전시킬 수 있게 합니다. 버전 1.3.0 이전에서는 토글 엔드포인트(POST/nova-vendor/nova-toggle/toggle/{resource}/{resourceId})가 웹 및 인증(middleware) 미들웨어에 의해서만 보호되었습니다. 구성된 가드(guard)에 대해 인증된 모든 사용자는 엔드포인트를 호출하여 Nova 리소스의 모든 부울 속성을 반전시킬 수 있었습니다. 여기에는 Nova 자체에 대한 접근 권한이 없는 사용자(예: Nova 관리 영역과 동일한 웹 가드를 공유하는 프론트엔드 고객)도 포함되었습니다. 또한 이 엔드포인트는 임의의 속성 매개변수를 허용했으므로, 유효한 호출자는 리소스에서 토글 필드로 노출된 열뿐만 아니라 기본 모델의 모든 부울 열을 토글할 수 있었습니다. 이 문제는 버전 1.3.0에서 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.