17 Febbraio 2026 13:03    Alert

OpenMetadata, PoC pubblico per la CVE‑2026‑26010: rischio di escalation via JWT esposti

L’Agenzia per la Cybersicurezza Nazionale (ACN) segnala la disponibilità di un Proof of Concept pubblico per lo sfruttamento della vulnerabilità CVE‑2026‑26010 in OpenMetadata, piattaforma open source per la gestione unificata dei metadati utilizzata in molti contesti enterprise e data‑driven. La falla è classificata a gravità “alta” e interessa le versioni precedenti alla 1.11.8 del prodotto.

La vulnerabilità è dovuta a un’insufficiente protezione delle informazioni sensibili nelle risposte dell’endpoint API /api/v1/ingestionPipelines, che possono restituire token JWT utilizzati dall’utente “ingestion‑bot” per alcuni servizi, tra cui Glue, Redshift e Postgres. Un utente con privilegi limitati (anche “read‑only”) può intercettare questi token e impersonare un account con ruoli molto più elevati, tipicamente associato al bot di ingestion, ottenendo così accesso a dati e funzionalità non autorizzati.

Lo sfruttamento della CVE‑2026‑26010 può consentire la lettura di informazioni sensibili (ad esempio dati di esempio o metadati di servizi normalmente non visibili per policy) e la modifica distruttiva di configurazioni e pipeline di ingestion all’interno dell’istanza OpenMetadata. La disponibilità di un PoC pubblico aumenta significativamente il rischio di attacchi opportunistici, anche da parte di attori con competenze tecniche non avanzate.

La vulnerabilità è stata corretta a partire dalla release 1.11.8, che rimuove la fuoriuscita dei JWT dalle risposte API interessate. Si raccomanda quindi agli amministratori di: identificare rapidamente le istanze esposte, aggiornare OpenMetadata almeno alla versione 1.11.8, revocare e rigenerare i token JWT eventualmente compromessi, e riesaminare i ruoli assegnati agli utenti “bot” per limitarne i privilegi allo stretto necessario.

Come misure aggiuntive, è opportuno rafforzare i controlli di accesso all’interfaccia e alle API (ad esempio tramite segmentazione di rete e WAF), monitorare i log per individuare richieste sospette verso gli endpoint di ingestion e attività anomale da account di servizio, e integrare la vulnerabilità all’interno dei processi di gestione del rischio e di risposta agli incidenti.

Fonti: ACN, GitHub, Synk Security