Katalog CVE

CVE-2026-53908

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność MCO umożliwia enumerację użytkowników poprzez funkcje związane z uwierzytelnianiem. Aplikacja zwraca różne odpowiedzi dla prawidłowych i nieprawidłowych użytkowników podczas operacji przypominania nazwy użytkownika i resetowania hasła. Atakujący może wykorzystać te różnice do wyliczenia prawidłowych nazw użytkowników i adresów e-mail.

Ocena ryzyka

Ryzyko polega na możliwości zebrania przez atakującego listy prawidłowych kont użytkowników, co może być wstępem do dalszych ataków, takich jak phishing czy ataki siłowe na hasła.

Rekomendacja

Zaleca się natychmiastową aktualizację systemu MCO do najnowszej dostępnej wersji, jeśli producent udostępnił łatkę. W przypadku braku aktualizacji należy rozważyć zastosowanie tymczasowych zabezpieczeń, takich jak ograniczenie dostępu do funkcji uwierzytelniania lub wdrożenie mechanizmów opóźniających odpowiedzi.

Oryginalny opis (angielski, źródło NVD)

MCO is vulnerable to User Enumeration through authentication-related functionalities. The application returns distinguishable responses for valid and invalid users during username reminder and password reset operations. An attacker can leverage these differences to enumerate valid usernames and email addresses. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS