CVE-2026-57949
ŚrednieCVSS 6.5Streszczenie
Podatność w module CRM systemu ruoyi-vue-pro (do wersji 2026.05, załatana w commicie c779a47) polega na braku autoryzacji w punkcie końcowym GET /admin-api/crm/follow-up-record/get. Uwierzytelniony użytkownik może odczytać dowolny rekord follow-up, iterując sekwencyjne identyfikatory numeryczne.
Ocena ryzyka
Atakujący może uzyskać dostęp do poufnych notatek, załączników plików, informacji o harmonogramie oraz powiązań z encjami biznesowymi innych użytkowników, co prowadzi do naruszenia poufności danych i potencjalnie do eskalacji uprawnień.
Rekomendacja
Należy natychmiast zastosować łatkę z commitu c779a47 lub zaktualizować system do wersji nowszej niż 2026.05. Dodatkowo warto wdrożyć mechanizm kontroli dostępu oparty na właścicielu rekordu.
Oryginalny opis (angielski, źródło NVD)
ruoyi-vue-pro through 2026.05, fixed in commit c779a47, contains a missing authorization vulnerability in the CRM module's GET /admin-api/crm/follow-up-record/get endpoint that allows authenticated users to read any follow-up record by iterating sequential numeric IDs. Attackers can exploit this by sending requests with arbitrary ID parameters to access other users' follow-up notes, file attachments, scheduling information, and business entity references without proper authorization checks.

