Katalog CVE

CVE-2025-63314

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

W systemie DDSN Interactive Acora CMS v10.7.1 funkcja resetowania hasła używa statycznego tokena, co umożliwia atakującemu wielokrotne użycie tego samego tokena do zresetowania hasła dowolnego użytkownika i przejęcia jego konta.

Ocena ryzyka

Atakujący może przejąć konto administratora lub innego uprzywilejowanego użytkownika, uzyskując pełny dostęp do systemu CMS i danych w nim przechowywanych.

Rekomendacja

Należy natychmiast zaktualizować system Acora CMS do najnowszej wersji, która usuwa tę podatność, oraz wymusić użycie jednorazowych, losowych tokenów resetowania hasła.

Oryginalny opis (angielski, źródło NVD)

A static password reset token in the password reset function of DDSN Interactive Acora CMS v10.7.1 allows attackers to arbitrarily reset the user password and execute a full account takeover via a replay attack.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS