Katalog CVE

CVE-2026-53904

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Podatność w MCO umożliwia atakującemu zablokowanie konta ofiary poprzez wielokrotne resetowanie hasła. Każde żądanie resetu unieważnia poprzednie hasło i tymczasowe hasła, a liczba resetów nie jest ograniczona. Atakujący, znając adres e-mail i odpowiedź na pytanie zabezpieczające, może skutecznie uniemożliwić ofierze dostęp do konta.

Ocena ryzyka

Ryzyko polega na możliwości trwałego zablokowania kont użytkowników, co prowadzi do przerwania działania usług i potencjalnej utraty dostępu do krytycznych zasobów. Ograniczeniem jest konieczność znajomości odpowiedzi na pytanie zabezpieczające oraz limit prób jego odgadnięcia.

Rekomendacja

Zaleca się natychmiastową aktualizację do najnowszej wersji MCO, jeśli jest dostępna, lub wdrożenie tymczasowych zabezpieczeń, takich jak ograniczenie liczby żądań resetowania hasła na konto oraz wzmocnienie mechanizmów weryfikacji tożsamości.

Oryginalny opis (angielski, źródło NVD)

MCO is vulnerable to Account Denial of Service due to improper implementation of password reset functionality. Each password reset request invalidates previously set password as well as previously issued temporary passwords, furthermore, password resets are not limited in any way. An attacker who provides victim's email and answer to their security question, can successfully initiate the reset process and continuously invalidate credentials, effectively locking the victim out of their account. Answering security questions has a limited number of tries which lowers the risk of this vulnerability. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS