Katalog CVE

CVE-2026-32865

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OPEXUS eComplaint i eCASE przed wersją 10.1.0.0 zawierają kod weryfikacji sekretu w odpowiedzi HTTP podczas żądania resetowania hasła przez 'ForcePasswordReset.aspx'. Atakujący, który zna adres e-mail istniejącego użytkownika, może zresetować hasło i pytania zabezpieczające użytkownika.

Ocena ryzyka

Podatność ta umożliwia atakującym przejęcie kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych organizacji.

Rekomendacja

Zaleca się aktualizację OPEXUS eComplaint i eCASE do wersji 10.1.0.0 lub nowszej oraz wdrożenie dodatkowych zabezpieczeń przy resetowaniu haseł.

Oryginalny opis (angielski, źródło NVD)

OPEXUS eComplaint and eCASE before version 10.1.0.0 include the secret verification code in the HTTP response when requesting a password reset via 'ForcePasswordReset.aspx'. An attacker who knows an existing user's email address can reset the user's password and security questions. Existing security questions are not asked during the process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS