VDB-359597 · Submit #797305 · CVE-2026-7018

Datavane Datavines до 13607645e14a4982468cfdbcf75c85cde63bae71 JWT Token TokenManager.java tokenSecret слабое шифрование

СводкаИнформация

Была найдена уязвимость, отнесённая к категории критический, в Datavane Datavines до 13607645e14a4982468cfdbcf75c85cde63bae71. Вовлечена неизвестная функция файла datavines-core/src/main/java/io/datavines/core/utils/TokenManager.java компонента JWT Token Handler. Манипуляция аргументом tokenSecret приводит к слабое шифрование. Уязвимость зарегистрирована как CVE-2026-7018. Атака может быть осуществлена удаленно. Кроме того, имеется доступный эксплойт. Этот продукт использует модель непрерывных обновлений (rolling release) для обеспечения постоянной доставки. Поэтому информация о версиях затронутых и обновленных выпусков недоступна. Рекомендуется установить обновление для решения этой проблемы.

ПодробностиИнформация

Уязвимость зарегистрирована как CVE-2026-7018. Атака может быть осуществлена удаленно. Доступна техническая информация. Сложность атаки довольно высока. Известно, что эксплуатация является сложной. Популярность этой уязвимости ниже среднего. Кроме того, имеется доступный эксплойт. Эксплойт опубликован и может быть использован. Сейчас цена на эксплойт приблизительно равна USD $0-$5k. Техника атаки по классификации MITRE ATT&CK: T1600.001.

Указано значение Доказательство концепции. Эксплойт доступен для загрузки на сайте github.com.

Этот продукт использует модель непрерывных обновлений (rolling release) для обеспечения постоянной доставки. Поэтому информация о версиях затронутых и обновленных выпусков недоступна. Название патча: e540d6dc04e2e6ad11907fb655f3728a13e7b939. Обновление уже доступно для загрузки по адресу github.com. Рекомендуется установить обновление для решения этой проблемы.

ПродуктИнформация

Поставщик

Datavane

Имя

Datavines

Версия

13607645e14a4982468cfdbcf75c85cde63bae71

Веб-сайт

Продукт: https://github.com/datavane/datavines/

CPE 2.3Информация

🔒

CPE 2.2Информация

🔒

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.6
VulDB Meta Temp Score: 5.1

VulDB Базовый балл: 5.6
VulDB Временная оценка: 5.1
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: слабое шифрование
CWE: CWE-321 / CWE-320
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

0-дневное время: 🔒

Патч: e540d6dc04e2e6ad11907fb655f3728a13e7b939

ХронологияИнформация

25.04.2026 Консультация опубликована
25.04.2026 +0 дни Запись VulDB создана
25.04.2026 +0 дни Последнее обновление VulDB

ИсточникиИнформация

Продукт: github.com

Консультация: 580
Статус: Подтверждённый
Подтверждение: 🔒

CVE: CVE-2026-7018 (🔒)
GCVE (CVE): GCVE-0-2026-7018
GCVE (VulDB): GCVE-100-359597
scip Labs: https://www.scip.ch/en/?labs.20161013