CVE-2025-63314
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
W systemie DDSN Interactive Acora CMS v10.7.1 funkcja resetowania hasła używa statycznego tokena, co umożliwia atakującemu wielokrotne użycie tego samego tokena do zresetowania hasła dowolnego użytkownika i przejęcia jego konta.
Ocena ryzyka
Atakujący może przejąć konto administratora lub innego uprzywilejowanego użytkownika, uzyskując pełny dostęp do systemu CMS i danych w nim przechowywanych.
Rekomendacja
Należy natychmiast zaktualizować system Acora CMS do najnowszej wersji, która usuwa tę podatność, oraz wymusić użycie jednorazowych, losowych tokenów resetowania hasła.
Oryginalny opis (angielski, źródło NVD)
A static password reset token in the password reset function of DDSN Interactive Acora CMS v10.7.1 allows attackers to arbitrarily reset the user password and execute a full account takeover via a replay attack.

