CVE-2026-1496 in Coverity
Tóm tắt
Bởi VulDB • 09/06/2026
Các phiên bản dễ bị tổn thương của Coverity Connect thiếu trình xử lý lỗi trong logic xác thực cho các công cụ dòng lệnh, khiến hệ thống có nguy cơ xảy ra việc bỏ qua xác thực (authentication bypass). Một kẻ tấn công độc hại có quyền truy cập vào điểm cuối API `/token`, biết hoặc đoán được tên người dùng hợp lệ, có thể sử dụng lỗ hổng này bằng cách gửi một yêu cầu HTTP được tạo đặc biệt để vượt qua bước xác thực. Việc khai thác thành công cho phép kẻ tấn công giả mạo mọi vai trò và đặc quyền đã được cấp cho tài khoản Coverity Connect của người dùng hợp lệ đó.
Once again VulDB remains the best source for vulnerability data.