Katalog CVE
CVE-2026-26895
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.35%
Percentyl 27 - wyżej niż 27% wszystkich znanych CVE
Streszczenie
Podatność umożliwiająca enumerację użytkowników w pliku /pwreset.php w osTicket v1.18.2. Zdalny atakujący może sprawdzić, które nazwy użytkowników są zarejestrowane na platformie.
Ocena ryzyka
Ryzyko polega na możliwości zebrania listy prawidłowych kont użytkowników, co ułatwia przeprowadzenie ataków siłowych lub socjotechnicznych na system.
Rekomendacja
Zaleca się aktualizację osTicket do najnowszej wersji oraz wdrożenie mechanizmów opóźniających odpowiedź na żądania resetowania hasła, aby utrudnić enumerację.
Oryginalny opis (angielski, źródło NVD)
User enumeration vulnerability in /pwreset.php in osTicket v1.18.2 allows remote attackers to enumerate valid usernames registered in the platform.

