Katalog CVE

CVE-2026-22234

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OPEXUS eCasePortal przed wersją 9.0.45.0 umożliwia nieautoryzowanemu atakującemu dostęp do punktu końcowego 'Attachments.aspx', co pozwala na iterację przez przewidywalne wartości 'formid' oraz pobieranie lub usuwanie wszystkich plików przesłanych przez użytkowników, a także na przesyłanie nowych plików.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych danych użytkowników, co prowadzi do naruszenia prywatności i bezpieczeństwa informacji w organizacji. Możliwość usuwania plików może skutkować utratą ważnych danych.

Rekomendacja

Zaleca się aktualizację OPEXUS eCasePortal do wersji 9.0.45.0 lub nowszej oraz wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji dla punktu końcowego 'Attachments.aspx'.

Oryginalny opis (angielski, źródło NVD)

OPEXUS eCasePortal before version 9.0.45.0 allows an unauthenticated attacker to navigate to the 'Attachments.aspx' endpoint, iterate through predictable values of 'formid', and download or delete all user-uploaded files, or upload new files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS