Katalog CVE

CVE-2026-50744

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W Revive Adserver 6.0.7 odkryto obejście ograniczenia dostępu do API XML-RPC dla administratorów. Metoda ox.login zwracała ciasteczko sesji w nagłówkach HTTP, a mimo błędu sesja nie była unieważniana, co pozwalało na wykorzystanie wyciekniętego identyfikatora sesji do nieautoryzowanych wywołań API.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do funkcji administracyjnych systemu reklamowego, co może prowadzić do kradzieży danych, manipulacji kampaniami lub przejęcia kontroli nad serwerem.

Rekomendacja

Należy natychmiast zaktualizować Revive Adserver do wersji, w której poprawiono unieważnianie sesji po błędzie logowania oraz usunięto wyciek ciasteczka sesji w odpowiedzi API.

Oryginalny opis (angielski, źródło NVD)

A bypass to the admin‑only restriction of the XML‑RPC API in Revive Adserver 6.0.7. The API response for the ox.login method returned a session ID cookie in the HTTP headers, and although the method correctly returned an error, the associated session was not invalidated. As a result, the leaked session ID could be used to perform subsequent API calls without restrictions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS