Katalog CVE

CVE-2025-51054

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

Podatność w Vedo Suite 2024.17 umożliwia nieuwierzytelnionym atakującym zdalne uzyskanie ważnego tokena JWT z wysokimi uprawnieniami poprzez wysłanie pustego żądania HTTP POST do endpointu /autologin/. Jest to spowodowane nieprawidłową kontrolą dostępu.

Ocena ryzyka

Atakujący może przejąć pełną kontrolę nad systemem Vedo Suite, uzyskując dostęp do wrażliwych danych i funkcji administracyjnych bez konieczności logowania.

Rekomendacja

Należy natychmiast zaktualizować Vedo Suite do najnowszej wersji oraz skonfigurować uwierzytelnianie wieloskładnikowe dla wszystkich kont administracyjnych.

Oryginalny opis (angielski, źródło NVD)

Vedo Suite 2024.17 is vulnerable to Incorrect Access Control, which allows remote attackers to obtain a valid high privilege JWT token without prior authentication via sending an empty HTTP POST request to the /autologin/ API endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS