CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-12866

Critical
Published: Translated: NVD NIST

Summary

EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.

Risk Assessment

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, co może prowadzić do utraty danych lub naruszenia prywatności. Organizacje mogą być narażone na ataki, które mogą wpłynąć na ich reputację i zaufanie klientów.

Recommendation

Zaleca się wdrożenie silniejszych mechanizmów odzyskiwania hasła, takich jak weryfikacja tożsamości użytkownika przed umożliwieniem resetowania hasła. Należy również monitorować i analizować próby nieautoryzowanego dostępu.

Original NVD description (English source)

EIP Plus developed by Hundred Plus has a Weak Password Recovery Mechanism vulnerability, allowing unauthenticated remote attacker to predict or brute-force the 'forgot password' link, thereby successfully resetting any user's password.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS