Katalog CVE

CVE-2026-37106

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 40 — wyżej niż 40% wszystkich znanych CVE

Streszczenie

W DokuWiki w wersji 2025-05-14b 'Librarian' 56.2 istnieje możliwość zdalnego utworzenia konta przez funkcję rejestracji w pliku inc/auth.php. Producent kwestionuje to jako podatność, ponieważ jest to zamierzone działanie przy włączonej samorejestracji (funkcja nie domyślna).

Ocena ryzyka

Ryzyko polega na tym, że jeśli administrator włączył samorejestrację, atakujący może bez autoryzacji utworzyć konto, co może prowadzić do niekontrolowanego dostępu do systemu.

Rekomendacja

Zaleca się wyłączenie funkcji samorejestracji w konfiguracji DokuWiki, jeśli nie jest wymagana, oraz wdrożenie dodatkowych mechanizmów uwierzytelniania.

Oryginalny opis (angielski, źródło NVD)

An issue in DokuWiki 2025-05-14b "Librarian" 56.2 allows a remote attacker to create an account via the register function in inc/auth.php. NOTE: this is disputed by the Supplier because this is the intentional behavior when the product is configured for self-registration (a non-default feature).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS