CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-11369

HighCVSS 7.1
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.04%

12th percentile - higher than 12% of all known CVEs

Summary

API komentarzy (GET /api/Comment i POST /api/Comment) w podatnej aplikacji nie wykonuje kontroli autoryzacji, aby zweryfikować, czy użytkownik żądający ma dostęp do obiektu identyfikowanego przez relatedObjectId. Ta podatność typu Insecure Direct Object Reference (IDOR) pozwala każdemu uwierzytelnionemu użytkownikowi na odczyt i zapis komentarzy w dowolnym procesie we wszystkich jednostkach biznesowych, podając dowolny GUID obiektu.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do danych komentarzy, co może prowadzić do wycieku informacji oraz manipulacji danymi. Potencjalne naruszenie prywatności i integralności danych może wpłynąć na reputację firmy.

Recommendation

Zaleca się wprowadzenie odpowiednich kontroli autoryzacji w API komentarzy, aby upewnić się, że użytkownicy mają dostęp tylko do obiektów, do których są uprawnieni. Należy również przeprowadzić audyt istniejących uprawnień użytkowników.

Original NVD description (English source)

The Comment API (GET /api/Comment and POST /api/Comment) in the affected application fails to perform authorization checks to verify that the requesting user has access to the object identified by the relatedObjectId. This Insecure Direct Object Reference (IDOR) vulnerability allows any authenticated user to read and write comments on any process across all business units by supplying an arbitrary object GUID.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS