CVE-2026-7195
HighCVSS 8.8Summary
Podatność CVE-2026-7195 dotyczy niewłaściwej walidacji danych wejściowych w usługach internetowych Progress Sitefinity w wersjach 14.1.x do 14.3.x oraz w wersjach 14.4.x przed 14.4.8152, 15.0.x przed 15.0.8234, 15.1.x przed 15.1.8335, 15.2.x przed 15.2.8441, 15.3.x przed 15.3.8531 i 15.4.x przed 15.4.8630. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu naruszenie integralności i poufności kont użytkowników, wymagając interakcji użytkownika oraz nietypowej konfiguracji witryny.
Risk Assessment
Ryzyko dla organizacji polega na możliwości naruszenia danych użytkowników, co może prowadzić do utraty zaufania oraz potencjalnych strat finansowych. Atakujący może uzyskać dostęp do wrażliwych informacji, co stwarza zagrożenie dla bezpieczeństwa całej infrastruktury.
Recommendation
Zaleca się aktualizację Progress Sitefinity do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji witryny oraz wdrożyć odpowiednie mechanizmy zabezpieczające przed nieautoryzowanym dostępem.
Original NVD description (English source)
CWE-20: Improper Input Validation in web services in Progress Sitefinity 14.1.x through 14.3.x, 14.4.x before 14.4.8152, 15.0.x before 15.0.8234, 15.1.x before 15.1.8335, 15.2.x before 15.2.8441, 15.3.x before 15.3.8531, and 15.4.x before 15.4.8630 allows a remote unauthenticated attacker to compromise the integrity and confidentiality of user accounts. Successful exploitation requires user interaction and a non-default site configuration.

