Vulnerabilities ›

CVE-2026-45248

Medium

CWE-306 — Weakness Type

                    Published: May 14, 2026                      ·  Modified: May 17, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

Hedera Guardian through 3.5.1 contains an authentication bypass vulnerability in the GET /api/v1/demo/registered-users endpoint that allows unauthenticated attackers to retrieve sensitive user information. Attackers can access the endpoint without providing authentication credentials to obtain usernames, Hedera DIDs, parent registry DIDs, system roles, and policy role assignments for all registered users in the system.

🤖 AI Executive Summary

Hedera Guardian versions up to 3.5.1 contain an authentication bypass vulnerability in the /api/v1/demo/registered-users endpoint that allows unauthenticated attackers to retrieve sensitive user information including usernames, DIDs, and role assignments. This vulnerability exposes critical identity and access control data without requiring authentication credentials.

📄 Description (Arabic)

تسمح ثغرة تجاوز المصادقة في Hedera Guardian بالوصول غير المصرح إلى بيانات المستخدمين الحساسة بما في ذلك أسماء المستخدمين والمعرفات الرقمية وتعيينات الأدوار. يمكن للمهاجمين استغلال هذه الثغرة للحصول على معلومات هوية شاملة دون الحاجة إلى بيانات اعتماد صحيحة. هذا يشكل خطراً كبيراً على سرية البيانات والامتثال للوائح حماية البيانات.

🤖 ملخص تنفيذي (AI)

يحتوي Hedera Guardian الإصدار 3.5.1 وما قبله على ثغرة تجاوز المصادقة في نقطة نهاية API تسمح للمهاجمين غير المصرح لهم بالوصول إلى معلومات المستخدمين الحساسة. يمكن للمهاجمين الحصول على أسماء المستخدمين والمعرفات الرقمية وتعيينات الأدوار دون توفير بيانات اعتماد المصادقة.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 03:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1526 T1087.001

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update Hedera Guardian to version 3.5.2 or later immediately. Implement network-level access controls to restrict access to the /api/v1/demo/registered-users endpoint. Enable authentication requirements for all API endpoints and conduct a security audit to identify if user data has been exposed. Monitor access logs for suspicious activity.

🔧 خطوات المعالجة (العربية)

قم بتحديث Hedera Guardian إلى الإصدار 3.5.2 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة النهاية. فعّل متطلبات المصادقة لجميع نقاط نهاية API وأجرِ تدقيقاً أمنياً شاملاً. راقب سجلات الوصول للكشف عن النشاط المريب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://github.com/hashgraph/guardian/pull/6076

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/hedera-guardian-authentication-bypass-information-...

disclosure@vulncheck.com

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-306

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-14

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-306

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-45248

💬 Comments

Introduce Yourself

Sign In Required