CVE-2026-48902
KrytyczneCVSS 9.8Streszczenie
Funkcje resetowania hasła i nazwy użytkownika generowały zwykłe linki http dla połączeń https, jeśli flaga 'Force SSL' nie była wyraźnie ustawiona. Może to prowadzić do nieautoryzowanego dostępu do kont użytkowników.
Ocena ryzyka
Organizacja może być narażona na ataki typu man-in-the-middle, co może skutkować przechwyceniem danych logowania użytkowników. To zwiększa ryzyko nieautoryzowanego dostępu do systemów.
Rekomendacja
Zaleca się, aby włączyć flagę 'Force SSL' w konfiguracji serwera, aby wymusić użycie bezpiecznych połączeń https dla wszystkich funkcji resetowania haseł i nazw użytkowników.
Oryginalny opis (angielski, źródło NVD)
The password and username reset features created plain http links for https connections if the "Force SSL" flag wasn't explicitly set.

