Katalog CVE

CVE-2026-49433

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Endpoint DeepAI 'https://api.deepai.org/change_user_email' akceptuje żądania POST bez jakiejkolwiek ochrony przed CSRF. Atakujący może zmusić zalogowanego użytkownika do kliknięcia w złośliwy link, co pozwoli mu na zmianę adresu e-mail użytkownika i przejęcie jego konta.

Ocena ryzyka

Brak ochrony przed CSRF stwarza poważne ryzyko przejęcia konta użytkownika, co może prowadzić do utraty danych i naruszenia prywatności. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem użytkowników.

Rekomendacja

Zaleca się wdrożenie ochrony CSRF dla endpointu zmiany adresu e-mail oraz przeszkolenie użytkowników w zakresie unikania klikania w podejrzane linki. Należy również monitorować aktywność kont użytkowników w celu wykrycia nieautoryzowanych zmian.

Oryginalny opis (angielski, źródło NVD)

The DeepAI endpoint 'https://api.deepai.org/change_user_email' accepts POST requests without any CSRF protection. If an attacker can trick a logged-in user into clicking a malicious link, the attacker can change the user's email address and take over their account. Fixed on 2026-05-20.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS