Katalog CVE

CVE-2026-56772

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

NewsBlur przed wersją 14.5.0 zawiera lukę w kontroli dostępu, która pozwala uwierzytelnionym użytkownikom na odczyt prywatnych powiadomień, podając dowolne wartości user_id do punktu końcowego GET /social/interactions bez weryfikacji własności.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do aktywności społecznościowej innych użytkowników, co prowadzi do naruszenia prywatności i potencjalnego wycieku danych.

Rekomendacja

Zaleca się aktualizację do wersji 14.5.0 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów weryfikacji dostępu.

Oryginalny opis (angielski, źródło NVD)

NewsBlur before 14.5.0 contains a broken access control vulnerability that allows authenticated users to read private notification feeds by supplying arbitrary user_id values to the GET /social/interactions endpoint without ownership verification. Attackers can enumerate user_id values to access another user's follows, replies, and social activity without authorization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS