CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-3432

Critical
Published: Translated: NVD NIST

Summary

W wersjach SimStudio poniżej 0.5.74, punkt końcowy `/api/auth/oauth/token` zawiera ścieżkę kodu, która omija wszystkie kontrole autoryzacji przy podaniu parametrów `credentialAccountUserId` i `providerId`. Nieautoryzowany atakujący może uzyskać tokeny dostępu OAuth dla dowolnego użytkownika, podając jego identyfikator użytkownika i nazwę dostawcy.

Risk Assessment

Organizacja jest narażona na kradzież danych uwierzytelniających do usług zewnętrznych, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników.

Recommendation

Zaleca się aktualizację SimStudio do wersji 0.5.74 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i zabezpieczyć inne potencjalne luki.

Original NVD description (English source)

On SimStudio version below to 0.5.74, the `/api/auth/oauth/token` endpoint contains a code path that bypasses all authorization checks when provided with `credentialAccountUserId` and `providerId` parameters. An unauthenticated attacker can retrieve OAuth access tokens for any user by supplying their user ID and a provider name, effectively stealing credentials to third-party services.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS