CVE-2026-11369
HighCVSS 7.1Exploitation Probability (EPSS)
Low risk12th percentile - higher than 12% of all known CVEs
Summary
API komentarzy (GET /api/Comment i POST /api/Comment) w podatnej aplikacji nie wykonuje kontroli autoryzacji, aby zweryfikować, czy użytkownik żądający ma dostęp do obiektu identyfikowanego przez relatedObjectId. Ta podatność typu Insecure Direct Object Reference (IDOR) pozwala każdemu uwierzytelnionemu użytkownikowi na odczyt i zapis komentarzy w dowolnym procesie we wszystkich jednostkach biznesowych, podając dowolny GUID obiektu.
Risk Assessment
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do danych komentarzy, co może prowadzić do wycieku informacji oraz manipulacji danymi. Potencjalne naruszenie prywatności i integralności danych może wpłynąć na reputację firmy.
Recommendation
Zaleca się wprowadzenie odpowiednich kontroli autoryzacji w API komentarzy, aby upewnić się, że użytkownicy mają dostęp tylko do obiektów, do których są uprawnieni. Należy również przeprowadzić audyt istniejących uprawnień użytkowników.
Original NVD description (English source)
The Comment API (GET /api/Comment and POST /api/Comment) in the affected application fails to perform authorization checks to verify that the requesting user has access to the object identified by the relatedObjectId. This Insecure Direct Object Reference (IDOR) vulnerability allows any authenticated user to read and write comments on any process across all business units by supplying an arbitrary object GUID.

