CVE-2026-13707
NieznaneCVSS 0.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność polegająca na utrwalaniu sesji (session fixation) w mechanizmie OAuth Wikimedia Foundation. Umożliwia atakującemu narzucenie własnego identyfikatora sesji ofierze, co może prowadzić do przejęcia sesji uwierzytelniającej.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości przejęcia kont użytkowników poprzez narzucenie sesji OAuth, co może skutkować nieautoryzowanym dostępem do danych i operacji w systemach korzystających z tego mechanizmu.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę OAuth do wersji 1.46.1 lub nowszej, a także rozważyć wdrożenie mechanizmów regeneracji identyfikatora sesji po uwierzytelnieniu.
Oryginalny opis (angielski, źródło NVD)
Session fixation vulnerability in Wikimedia Foundation OAuth. This vulnerability is associated with program files src/Backend/MWOAuthServer.Php. This issue affects OAuth: from * through 1.46.0, 1.45.4, 1.44.6, 1.43.9.

