Zurück zur Liste

nebula-mesh: Newly-minted operator API key exposed in redirect URL (Referer, history, proxy logs) — CVE-2026-47768

GitHub · GitHub · CVE-2026-47768

ID
CVE-2026-47768

Datum
2026-06-11

Activity
2026-06-11

Quelle
GitHub

Vendor
GitHub

Risiko
medium

CVSS
5.5

Zusammenfassung

`internal/web/operators.go:251` — after `handleOperatorCreateAPIKey` mints a fresh 32-byte bearer token, the redirect points the operator's browser at: /ui/operators/<id>?new_key=<raw-token>&key_name=<name> The raw API key ends up: - in the browser's URL history - in the `Referer` header on every cross-origin asset the detail page loads (any third-party SVG/CSS/JS resource the layout pulls in) - in any…

Produkt

go: github.com/juev/nebula-mesh

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W24

CVE-2026-0249 GlobalProtect App: Certificate Validation Bypass Vulnerabilities

2026-06-13 CVE-2026-0249

mediumPalo Alto Networks Palo Alto 2026-W24

CVE-2026-0250 GlobalProtect App: Buffer Overflow Vulnerability during connection to Portal or Gateway

2026-06-13 CVE-2026-0250

mediumPalo Alto Networks Palo Alto 2026-W24

File Browser has a Command Execution Allowlist Bypass via Shell Metacharacter Injection

2026-06-13 CVE-2026-54090

highGitHub GitHub 2026-W24

Apache CXF: Mehrere Schwachstellen

2026-06-12 WID-SEC-2026-1895

mediumBSI 2026-W24

Apple macOS: Mehrere Schwachstellen

2026-06-12 WID-SEC-2025-0668

highBSI 2026-W24

Apple macOS: Mehrere Schwachstellen

2026-06-12 WID-SEC-2025-2475

criticalBSI 2026-W24