CVE-2026-44957
ŚrednieCVSS 4.3Streszczenie
Brak kontroli dostępu podczas wywoływania różnych metod modyfikacji w API XML-RPC Revive Adserver w wersji 6.0.6 i wcześniejszych. API pozwalało na przypisywanie jednostek do różnych jednostek nadrzędnych, co prowadziło do niespójnych relacji własności.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane modyfikacje relacji własności, co może prowadzić do utraty kontroli nad danymi. Wykorzystanie tej podatności może być możliwe w połączeniu z innymi lukami lub rozszerzeniami API.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Revive Adserver, aby skorzystać z wprowadzonych kontroli dostępu. Należy również przeanalizować używane rozszerzenia API pod kątem potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
A missing access control check when invoking various modify methods in the XML‑RPC API of Revive Adserver 6.0.6 and earlier. The API allowed entities to be reassigned to different parent entities, leading to inconsistent ownership relationships. This issue was exploitable only in combination with CVE‑2026‑34917 or with third‑party API extensions that expose API functionality to low‑privileged users. Access control checks have been added to validate access to parent entities in the API modify methods.

