CVE-2026-37106
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
W DokuWiki w wersji 2025-05-14b 'Librarian' 56.2 istnieje możliwość zdalnego utworzenia konta przez funkcję rejestracji w pliku inc/auth.php. Producent kwestionuje to jako podatność, ponieważ jest to zamierzone działanie przy włączonej samorejestracji (funkcja nie domyślna).
Ocena ryzyka
Ryzyko polega na tym, że jeśli administrator włączył samorejestrację, atakujący może bez autoryzacji utworzyć konto, co może prowadzić do niekontrolowanego dostępu do systemu.
Rekomendacja
Zaleca się wyłączenie funkcji samorejestracji w konfiguracji DokuWiki, jeśli nie jest wymagana, oraz wdrożenie dodatkowych mechanizmów uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
An issue in DokuWiki 2025-05-14b "Librarian" 56.2 allows a remote attacker to create an account via the register function in inc/auth.php. NOTE: this is disputed by the Supplier because this is the intentional behavior when the product is configured for self-registration (a non-default feature).

