CVE-2026-58422
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w mechanizmie wywołania zwrotnego logowania OAuth powoduje, że konta użytkowników wyłączone przez administratora są po cichu ponownie aktywowane. Dzieje się to bez wiedzy administratora, co może prowadzić do nieautoryzowanego dostępu.
Ocena ryzyka
Ryzyko polega na tym, że wyłączone konta mogą zostać nieświadomie przywrócone, umożliwiając nieuprawnionym użytkownikom dostęp do systemu. Może to naruszyć politykę bezpieczeństwa organizacji i doprowadzić do wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować system do wersji zawierającej poprawkę usuwającą tę lukę. Do czasu aktualizacji zaleca się monitorowanie logów logowania OAuth pod kątem nieoczekiwanych aktywacji kont.
Oryginalny opis (angielski, źródło NVD)
Improper authorization on OAuth sign-in callback silently re-enables administrator-disabled accounts

