CVE-2026-10854
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Problem z kontrolą widoczności w procesie tworzenia szablonów wydarzeń pozwalał użytkownikom, którzy nie są administratorami strony, na dostęp do prywatnych galaktyk należących do innych organizacji. Twórca szablonów wydarzeń ładował wszystkie włączone galaktyki bez stosowania ograniczeń dostępu opartych na organizacji lub dystrybucji.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie prywatnych metadanych galaktyk, takich jak typ i opis galaktyki, użytkownikom, którzy nie powinni mieć do nich dostępu. To może prowadzić do naruszenia prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się, aby administratorzy stron upewnili się, że wszystkie galaktyki są odpowiednio skonfigurowane pod kątem ustawień prywatności i dostępu. Należy również monitorować dostęp użytkowników do galaktyk, aby zapobiec podobnym incydentom w przyszłości.
Oryginalny opis (angielski, źródło NVD)
A visibility control issue in the event template creation workflow allowed non-site-admin users to access private galaxies belonging to other organisations. The event template builder loaded all enabled galaxies without applying organisation or distribution-based access restrictions, potentially exposing private galaxy metadata such as galaxy type and description to users who should not have visibility. The issue has been fixed by restricting galaxy queries for non-site-admin users to galaxies owned by the user’s organisation or galaxies with a non-private distribution setting. Site administrators retain visibility of all enabled galaxies.

