Katalog CVE

CVE-2025-66391

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Citrix Cloud do 2025-11-10, konto z dostępem tylko do odczytu może uruchomić workflow dla operacji zapisu, co pozwala atakującemu na zresetowanie hasła użytkownika poprzez wysłanie jednorazowego hasła na kontrolowany przez niego adres e-mail.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane zmiany w kontach użytkowników, co prowadzi do potencjalnej utraty danych i naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się ograniczenie dostępu do funkcji resetowania haseł tylko do kont z odpowiednimi uprawnieniami oraz monitorowanie aktywności kont z dostępem tylko do odczytu.

Oryginalny opis (angielski, źródło NVD)

In Citrix Cloud through 2025-11-10, an account with read-only access can trigger the beginning of a workflow for write operations, e.g., the system will send a one-time password to an attacker-controlled email address when the attacker attempts to reset the password of a user account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS