CRITICAL🇬🇧 English

CVE-2026-21854

Auth Bypass w Tarkov Data Manager — pełny dostęp admina bez uwierzytelnienia

CVSS 9.8v3.1pub. 2026-01-07upd. 2026-02-03

Tarkov Data Manager zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia w endpoincie logowania. Nieuwierzytelniony atakujący może uzyskać pełny dostęp administracyjny do panelu zarządzania danymi.

Pokaż oryginał (EN)

The Tarkov Data Manager is a tool to manage the Tarkov item data. Prior to 02 January 2025, an authentication bypass vulnerability in the login endpoint allows any unauthenticated user to gain full admin access to the Tarkov Data Manager admin panel by exploiting a JavaScript prototype property access vulnerability, combined with loose equality type coercion. A series of fix commits on 02 January 2025 fixed this and other vulnerabilities.

🤖 Analiza AI
Jak działa

Podatność wynika z połączenia dwóch mechanizmów: błędu dostępu do właściwości prototypu JavaScript (JavaScript prototype property access vulnerability, CWE-1321) oraz luźnego porównywania typów (loose equality type coercion, CWE-843). Atakujący może dostarczyć spreparowane dane wejściowe do endpointu logowania, które poprzez mechanizm prototype pollution lub nieprawidłowe porównanie typów skutkują pominięciem weryfikacji tożsamości użytkownika (CWE-287). W efekcie aplikacja traktuje żądanie jako uwierzytelnione i przyznaje uprawnienia administratora.

Skutki

Atakujący bez żadnych poświadczeń uzyskuje pełny dostęp do panelu administracyjnego Tarkov Data Manager, co pozwala na odczyt, modyfikację lub usunięcie zarządzanych danych o przedmiotach Tarkov.

Mitygacja

Należy zaktualizować Tarkov Data Manager do wersji zawierającej poprawki wprowadzone 02 stycznia 2025 roku (commit f188f0abf766cefe3f1b7b4fc6fe9dad3736174a). Szczegóły dostępne w referencjach producenta na GitHub.

Kogo dotyczy

Tarkov Data Manager (projekt the-hideout/tarkov-data-manager) we wszystkich wersjach wydanych przed 02 stycznia 2025 roku

Uwagi

Podatność została naprawiona serią commitów z dnia 02 stycznia 2025 roku. Szczegółowe informacje dostępne w security advisory GHSA-r8w6-9xwg-6h73 na GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tarkov Data Manager

    APP
    Tarkov
    < 2025-01-02
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-21855CRITICAL9.3PL ✓ten sam produkt

Reflected XSS w Tarkov Data Manager — wykonanie JavaScript w przeglądarce ofiary

CVE-2026-21856HIGH7.2ten sam produkt

The Tarkov Data Manager is a tool to manage the Tarkov item data. Prior to commit 9bdb3a75a98a7047b6d70144eb1d...