Katalog CVE

CVE-2026-34912

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Brak kontroli dostępu przy łączeniu banerów lub kampanii z strefą w skrypcie zone-include.php Revive Adserver 6.0.6 i wcześniejszych wersjach pozwala na to, że użytkownik o niskich uprawnieniach może połączyć swoje strefy z banerami lub kampaniami należącymi do innych menedżerów w tej samej instancji.

Ocena ryzyka

To może prowadzić do niespójnych relacji własności, co zagraża integralności danych i może wpłynąć na zarządzanie kampaniami reklamowymi.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Revive Adserver, w której dodano walidację własności, aby zapewnić, że banery i kampanie mogą być łączone tylko ze strefami zarządzanymi przez to samo konto.

Oryginalny opis (angielski, źródło NVD)

A missing access control check when linking banners or campaigns to a zone through the zone-include.php script of Revive Adserver 6.0.6 and earlier, or via its API allows a low‑privileged user could link their zones to banners or campaigns owned by other managers on the same instance, resulting in inconsistent ownership relationships. Ownership validation has been added to ensure that banners and campaigns can only be linked to zones managed by the same account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS