CVE-2026-13543
ŚrednieCVSS 5.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
W Documenso do wersji 2.11.0 wykryto podatność w komponencie logowania przez Google OAuth. Nieznana funkcjonalność pliku handle-oauth-callback-url.ts prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do kont użytkowników logujących się przez Google OAuth. Publicznie dostępny exploit zwiększa prawdopodobieństwo ataku, co może prowadzić do naruszenia poufności danych.
Rekomendacja
Należy natychmiast zastosować dostępną łatkę lub tymczasowo wyłączyć logowanie przez Google OAuth do czasu wydania oficjalnej poprawki. Monitoruj repozytorium Documenso w celu uzyskania informacji o zaakceptowanym pull requeście.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in Documenso up to 2.11.0. Affected by this vulnerability is an unknown functionality of the file packages/auth/server/lib/utils/handle-oauth-callback-url.ts of the component Google OAuth Login. The manipulation results in improper authentication. It is possible to launch the attack remotely. This attack is characterized by high complexity. The exploitation appears to be difficult. The exploit is now public and may be used. The pull request to fix this issue awaits acceptance.

