CVE-2026-11369
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
API komentarzy (GET /api/Comment i POST /api/Comment) w podatnej aplikacji nie wykonuje kontroli autoryzacji, aby zweryfikować, czy użytkownik żądający ma dostęp do obiektu identyfikowanego przez relatedObjectId. Ta podatność typu Insecure Direct Object Reference (IDOR) pozwala każdemu uwierzytelnionemu użytkownikowi na odczyt i zapis komentarzy w dowolnym procesie we wszystkich jednostkach biznesowych, podając dowolny GUID obiektu.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do danych komentarzy, co może prowadzić do wycieku informacji oraz manipulacji danymi. Potencjalne naruszenie prywatności i integralności danych może wpłynąć na reputację firmy.
Rekomendacja
Zaleca się wprowadzenie odpowiednich kontroli autoryzacji w API komentarzy, aby upewnić się, że użytkownicy mają dostęp tylko do obiektów, do których są uprawnieni. Należy również przeprowadzić audyt istniejących uprawnień użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Comment API (GET /api/Comment and POST /api/Comment) in the affected application fails to perform authorization checks to verify that the requesting user has access to the object identified by the relatedObjectId. This Insecure Direct Object Reference (IDOR) vulnerability allows any authenticated user to read and write comments on any process across all business units by supplying an arbitrary object GUID.

