CVE-2025-51054
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
Podatność w Vedo Suite 2024.17 umożliwia nieuwierzytelnionym atakującym zdalne uzyskanie ważnego tokena JWT z wysokimi uprawnieniami poprzez wysłanie pustego żądania HTTP POST do endpointu /autologin/. Jest to spowodowane nieprawidłową kontrolą dostępu.
Ocena ryzyka
Atakujący może przejąć pełną kontrolę nad systemem Vedo Suite, uzyskując dostęp do wrażliwych danych i funkcji administracyjnych bez konieczności logowania.
Rekomendacja
Należy natychmiast zaktualizować Vedo Suite do najnowszej wersji oraz skonfigurować uwierzytelnianie wieloskładnikowe dla wszystkich kont administracyjnych.
Oryginalny opis (angielski, źródło NVD)
Vedo Suite 2024.17 is vulnerable to Incorrect Access Control, which allows remote attackers to obtain a valid high privilege JWT token without prior authentication via sending an empty HTTP POST request to the /autologin/ API endpoint.

