CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49433

MediumCVSS 5.0
Published: Updated: Translated: NVD NIST

Summary

Endpoint DeepAI 'https://api.deepai.org/change_user_email' akceptuje żądania POST bez jakiejkolwiek ochrony przed CSRF. Atakujący może zmusić zalogowanego użytkownika do kliknięcia w złośliwy link, co pozwoli mu na zmianę adresu e-mail użytkownika i przejęcie jego konta.

Risk Assessment

Brak ochrony przed CSRF stwarza poważne ryzyko przejęcia konta użytkownika, co może prowadzić do utraty danych i naruszenia prywatności. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem użytkowników.

Recommendation

Zaleca się wdrożenie ochrony CSRF dla endpointu zmiany adresu e-mail oraz przeszkolenie użytkowników w zakresie unikania klikania w podejrzane linki. Należy również monitorować aktywność kont użytkowników w celu wykrycia nieautoryzowanych zmian.

Original NVD description (English source)

The DeepAI endpoint 'https://api.deepai.org/change_user_email' accepts POST requests without any CSRF protection. If an attacker can trick a logged-in user into clicking a malicious link, the attacker can change the user's email address and take over their account. Fixed on 2026-05-20.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS