Katalog CVE

CVE-2026-1698

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność ataku na nagłówek Host HTTP w aplikacjach WebClient i WebScheduler PcVue (wersje 15.0.0 do 16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie szkodliwych ładunków manipulujących działaniem serwera. Problem dotyczy konkretnych endpointów: /Authentication/ExternalLogin, /Authentication/AuthorizationCodeCallback oraz /Authentication/Logout.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przejęcia kontroli nad sesjami uwierzytelniania, co może prowadzić do nieautoryzowanego dostępu do systemu i danych wrażliwych organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować PcVue do wersji nowszej niż 16.3.3, która zawiera poprawkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do wymienionych endpointów oraz walidację nagłówka Host po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

A HTTP Host header attack vulnerability affects WebClient and the WebScheduler web apps of PcVue in version 15.0.0 through 16.3.3 included, allowing a remote attacker to inject harmful payloads that manipulate server-side behavior. This vulnerability only affects the endpoints /Authentication/ExternalLogin, /Authentication/AuthorizationCodeCallback and /Authentication/Logout of the WebClient and WebScheduler web apps.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS