Katalog CVE

CVE-2026-34913

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Brak kontroli dostępu przy łączeniu trackerów z kampaniami w skrypcie campaign-trackers.php w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na powiązanie swoich trackerów z kampaniami należącymi do innych menedżerów w tej samej instancji.

Ocena ryzyka

Może to prowadzić do niespójnych relacji własności, co zagraża integralności danych kampanii reklamowych w organizacji.

Rekomendacja

Zaleca się aktualizację do nowszej wersji Revive Adserver, w której dodano walidację własności, aby zapewnić, że kampanie mogą być łączone tylko z trackerami należącymi do tego samego reklamodawcy.

Oryginalny opis (angielski, źródło NVD)

A missing access control check when linking trackers to campaigns through the campaign-trackers.php script of Revive Adserver 6.0.6 and earlier could allow a low‑privileged user to link their trackers to campaigns owned by other managers on the same instance, resulting in inconsistent ownership relationships. Ownership validation has been added to ensure that campaigns can only be linked to trackers owned by the same advertiser.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS