CVE-2026-1966

YugabyteDB Anywhere Exposes LDAP Credentials in Cleartext in Web UI

CVSS 2.4 LOWEPSS 0.2%CWE-522

Vexday Risk Score

8Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 2.4EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

05 feb 2026Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

YugabyteDB Anywhere displays LDAP bind passwords configured via gflags in cleartext within the web UI. An authenticated user with access to the configuration view could obtain LDAP credentials, potentially enabling unauthorized access to external directory services.

CVSS:4.0/AV:P/AC:H/AT:P/PR:H/UI:A/VC:L/VI:L/VA:L/SC:H/SI:H/SA:H

Productos afectados

YugabyteDB Inc · YugabyteDB Anywhere

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://docs.yugabyte.com/stable/secure/vulnerability-disclosure-policy/