CVE-2026-34913
ŚrednieCVSS 4.3Streszczenie
Brak kontroli dostępu przy łączeniu trackerów z kampaniami w skrypcie campaign-trackers.php w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na powiązanie swoich trackerów z kampaniami należącymi do innych menedżerów w tej samej instancji.
Ocena ryzyka
Może to prowadzić do niespójnych relacji własności, co zagraża integralności danych kampanii reklamowych w organizacji.
Rekomendacja
Zaleca się aktualizację do nowszej wersji Revive Adserver, w której dodano walidację własności, aby zapewnić, że kampanie mogą być łączone tylko z trackerami należącymi do tego samego reklamodawcy.
Oryginalny opis (angielski, źródło NVD)
A missing access control check when linking trackers to campaigns through the campaign-trackers.php script of Revive Adserver 6.0.6 and earlier could allow a low‑privileged user to link their trackers to campaigns owned by other managers on the same instance, resulting in inconsistent ownership relationships. Ownership validation has been added to ensure that campaigns can only be linked to trackers owned by the same advertiser.

