CVE-2026-14753
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W komponencie Note Handler/Assignment Handler projektu stumasy (do wersji 327d1b0f) wykryto podatność polegającą na ominięciu autoryzacji poprzez manipulację argumentem assignment_item_id w pliku /PHP/objects/notes. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do funkcji obsługi notatek i zadań, co może prowadzić do naruszenia poufności i integralności danych. Ze względu na brak odpowiedzi ze strony projektu oraz publiczny exploit, ryzyko jest wysokie.
Rekomendacja
Należy natychmiast wdrożyć tymczasowe zabezpieczenia, takie jak ograniczenie dostępu do pliku /PHP/objects/notes oraz monitorowanie podejrzanych żądań. Ze względu na brak łatki, rozważ zaprzestanie używania komponentu do czasu wydania aktualizacji.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in mjperpinosa stumasy up to 327d1b0f2915ba79d7ef8ebb74553e987609d9be. This impacts an unknown function of the file /PHP/objects/notes of the component Note Handler/Assignment Handler. Performing a manipulation of the argument assignment_item_id results in authorization bypass. The attack can be initiated remotely. The exploit is now public and may be used. Continious delivery with rolling releases is used by this product. Therefore, no version details of affected nor updated releases are available. The project was informed of the problem early through an issue report but has not responded yet.

