CVE-2026-13007 Tenable Identity Exposure
A vulnerabilidade expõe dados de configuração sensíveis, incluindo credenciais LDAP em texto puro, configuração SAML, contas de usuário e configurações de diretório, para atacantes remotos não autenticados. Isso ocorre devido a endpoints de API não autenticados sob /w/api/*. O impacto real inclui o acesso não autorizado a informações confidenciais. A falta de um cabeçalho Vary: Cookie permite que proxies reversos e CDNs armazenem em cache e forneçam dados sensíveis a usuários não autenticados.
CVE: CVE-2026-13007
Severidade: HIGH
Resumo:
A vulnerabilidade expõe dados de configuração sensíveis, incluindo credenciais LDAP em texto puro, configuração SAML, contas de usuário e configurações de diretório, para atacantes remotos não autenticados. Isso ocorre devido a endpoints de API não autenticados sob /w/api/*. O impacto real inclui o acesso não autorizado a informações confidenciais. A falta de um cabeçalho Vary: Cookie permite que proxies reversos e CDNs armazenem em cache e forneçam dados sensíveis a usuários não autenticados.
CVSS: 7.5