CVE-2026-35098
ŚrednieCVSS 6.9Streszczenie
System e-BOK firmy KTM nie implementuje żadnego limitu ani limitu czasowego na kolejne próby logowania, co pozwala atakującemu na przeprowadzanie nieograniczonych żądań uwierzytelnienia. Brak ograniczania szybkości żądań umożliwia skuteczne ataki brute-force na konta użytkowników. W połączeniu z podatnością CVE-2026-35097, gdzie hasła są ograniczone do sześciocyfrowego formatu numerycznego, staje się to krytycznym problemem, ponieważ takie hasła mogą zostać złamane w stosunkowo krótkim czasie.
Ocena ryzyka
Organizacja narażona jest na przejęcie kont użytkowników poprzez ataki brute-force, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i systemów. Brak limitów prób logowania znacząco zwiększa ryzyko skutecznego ataku, szczególnie przy słabych hasłach numerycznych.
Rekomendacja
Należy niezwłocznie zastosować poprawkę opublikowaną w czerwcu 2026 roku. Dodatkowo, wdrożyć mechanizmy ograniczania szybkości żądań (rate-limiting) oraz wymusić stosowanie silniejszych haseł, wykraczających poza prosty format numeryczny.
Oryginalny opis (angielski, źródło NVD)
KTM System e-BOK does not implement any limit or timeout on consecutive login attempts, allowing an attacker to perform unlimited authentication requests. This lack of rate‑limiting enables efficient brute‑force attacks against user accounts. When combined with vulnerability CVE-2026-35097, where passwords are restricted to a six‑digit numeric format, this becomes a critical issue, as such passwords can be brute‑forced in a relatively short time. This issue was fixed in the patch published in June 2026.

