Katalog CVE

CVE-2026-26895

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 - wyżej niż 27% wszystkich znanych CVE

Streszczenie

Podatność umożliwiająca enumerację użytkowników w pliku /pwreset.php w osTicket v1.18.2. Zdalny atakujący może sprawdzić, które nazwy użytkowników są zarejestrowane na platformie.

Ocena ryzyka

Ryzyko polega na możliwości zebrania listy prawidłowych kont użytkowników, co ułatwia przeprowadzenie ataków siłowych lub socjotechnicznych na system.

Rekomendacja

Zaleca się aktualizację osTicket do najnowszej wersji oraz wdrożenie mechanizmów opóźniających odpowiedź na żądania resetowania hasła, aby utrudnić enumerację.

Oryginalny opis (angielski, źródło NVD)

User enumeration vulnerability in /pwreset.php in osTicket v1.18.2 allows remote attackers to enumerate valid usernames registered in the platform.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS