CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32865

Critical
Published: Translated: NVD NIST

Summary

OPEXUS eComplaint i eCASE przed wersją 10.1.0.0 zawierają kod weryfikacji sekretu w odpowiedzi HTTP podczas żądania resetowania hasła przez 'ForcePasswordReset.aspx'. Atakujący, który zna adres e-mail istniejącego użytkownika, może zresetować hasło i pytania zabezpieczające użytkownika.

Risk Assessment

Podatność ta umożliwia atakującym przejęcie kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych organizacji.

Recommendation

Zaleca się aktualizację OPEXUS eComplaint i eCASE do wersji 10.1.0.0 lub nowszej oraz wdrożenie dodatkowych zabezpieczeń przy resetowaniu haseł.

Original NVD description (English source)

OPEXUS eComplaint and eCASE before version 10.1.0.0 include the secret verification code in the HTTP response when requesting a password reset via 'ForcePasswordReset.aspx'. An attacker who knows an existing user's email address can reset the user's password and security questions. Existing security questions are not asked during the process.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS