Katalog CVE

CVE-2026-57949

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w module CRM systemu ruoyi-vue-pro (do wersji 2026.05, załatana w commicie c779a47) polega na braku autoryzacji w punkcie końcowym GET /admin-api/crm/follow-up-record/get. Uwierzytelniony użytkownik może odczytać dowolny rekord follow-up, iterując sekwencyjne identyfikatory numeryczne.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych notatek, załączników plików, informacji o harmonogramie oraz powiązań z encjami biznesowymi innych użytkowników, co prowadzi do naruszenia poufności danych i potencjalnie do eskalacji uprawnień.

Rekomendacja

Należy natychmiast zastosować łatkę z commitu c779a47 lub zaktualizować system do wersji nowszej niż 2026.05. Dodatkowo warto wdrożyć mechanizm kontroli dostępu oparty na właścicielu rekordu.

Oryginalny opis (angielski, źródło NVD)

ruoyi-vue-pro through 2026.05, fixed in commit c779a47, contains a missing authorization vulnerability in the CRM module's GET /admin-api/crm/follow-up-record/get endpoint that allows authenticated users to read any follow-up record by iterating sequential numeric IDs. Attackers can exploit this by sending requests with arbitrary ID parameters to access other users' follow-up notes, file attachments, scheduling information, and business entity references without proper authorization checks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS