CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32817

Critical
Published: Translated: NVD NIST

Summary

Admidio to otwarte rozwiązanie do zarządzania użytkownikami. W wersjach od 5.0.0 do 5.0.6 moduł dokumentów i plików nie weryfikuje, czy bieżący użytkownik ma uprawnienia do usuwania folderów lub plików, co pozwala na ich usunięcie przez nieautoryzowanych użytkowników.

Risk Assessment

Organizacja narażona jest na utratę danych, ponieważ nieautoryzowani użytkownicy mogą trwale usunąć całą bibliotekę dokumentów. Nawet użytkownicy z dostępem tylko do odczytu mogą usunąć zawartość, do której mają jedynie prawo przeglądania.

Recommendation

Zaleca się aktualizację do wersji 5.0.7, aby usunąć tę podatność. Należy również rozważyć dodatkowe zabezpieczenia, takie jak weryfikacja tokenów CSRF oraz restrykcje dotyczące uprawnień do usuwania plików.

Original NVD description (English source)

Admidio is an open-source user management solution. In versions 5.0.0 through 5.0.6, the documents and files module does not verify whether the current user has permission to delete folders or files. The folder_delete and file_delete action handlers in modules/documents-files.php only perform a VIEW authorization check (getFolderForDownload / getFileForDownload) before calling delete(), and they never validate a CSRF token. Because the target UUIDs are read from $_GET, deletion can be triggered by a plain HTTP GET request. When the module is in public mode (documents_files_module_enabled = 1) and a folder is marked public (fol_public = true), an unauthenticated attacker can permanently destroy the entire document library. Even when the module requires login, any user with view-only access can delete content they are only permitted to read. This issue has been fixed in version 5.0.7.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS