Katalog CVE

CVE-2026-54105

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Systemy EPDS i EDS ujawniają wrażliwe informacje o kontach poprzez punkt końcowy API 'update-profile/'. Zdalny, nieautoryzowany atakujący może wysłać żądanie z dowolnym parametrem 'user_id' i otrzymać odpowiedź JSON zawierającą informacje specyficzne dla konta, w tym powiązany adres e-mail.

Ocena ryzyka

Ujawnienie wrażliwych informacji o kontach może prowadzić do dalszych ataków, takich jak phishing czy kradzież tożsamości. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do danych użytkowników.

Rekomendacja

Zaleca się zabezpieczenie punktu końcowego API 'update-profile/' poprzez wprowadzenie autoryzacji oraz walidacji parametrów wejściowych. Należy również przeprowadzić audyt bezpieczeństwa systemów EPDS i EDS.

Oryginalny opis (angielski, źródło NVD)

The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) expose sensitive account information through the 'update-profile/' API endpoint. A remote, unauthenticated attacker can submit a request containing an arbitrary 'user_id' parameter and receive a JSON response containing account-specific information, including the associated email address.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS