Katalog CVE

CVE-2026-53905

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Podatność w MCO polega na braku odpowiedniej autoryzacji w endpointcie /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure. Uwierzytelniony użytkownik z niskimi uprawnieniami może odczytać struktury kontroli dostępu administratora, co może ujawnić wrażliwe mapowania uprawnień i szczegóły konfiguracji wewnętrznej.

Ocena ryzyka

Ryzyko polega na możliwości eskalacji uprawnień przez nieautoryzowany dostęp do struktur ACL administratora, co może prowadzić do wycieku poufnych danych konfiguracyjnych i mapowań uprawnień.

Rekomendacja

Zaleca się natychmiastowe zastosowanie poprawek bezpieczeństwa od producenta lub tymczasowe ograniczenie dostępu do endpointu poprzez reguły firewall i filtrowanie żądań.

Oryginalny opis (angielski, źródło NVD)

MCO does not properly enforce authorization checks in the /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure endpoint. An authenticated, low-privileged user can retrieve administrator access control structures without proper authorization checks. This may expose sensitive permission mappings and internal configuration details. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS