CVE-2026-54103
KrytyczneCVSS 9.8Streszczenie
Systemy EPDS i EDS nie weryfikują żądań zmiany hasła w punkcie końcowym API '/update-profile/N'. Zdalny, nieautoryzowany atakujący może zmienić hasło dowolnego użytkownika.
Ocena ryzyka
Brak autoryzacji przy zmianie hasła stwarza poważne ryzyko dla bezpieczeństwa kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.
Rekomendacja
Zaleca się wdrożenie mechanizmu autoryzacji dla żądań zmiany hasła, aby zapobiec nieautoryzowanym modyfikacjom kont użytkowników.
Oryginalny opis (angielski, źródło NVD)
The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) does not authenticate password change requests to the '/update-profile/N' API endpoint. A remote, unauthenticated attacker could change an arbitrary user's password.

