CVE-2026-34917
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Niskoprawne identyfikatory sesji generowane dla konsoli administracyjnej mogą być ponownie używane w API XML-RPC, którego uwierzytelnienie jest zazwyczaj ograniczone do użytkowników administracyjnych. Atakujący może wykorzystać to do uzyskania nieautoryzowanego dostępu i wykorzystania luk na poziomie API.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych funkcji API, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację systemu w celu poprawy mechanizmu generowania identyfikatorów sesji oraz wdrożenie dodatkowych środków zabezpieczających dla API.
Oryginalny opis (angielski, źródło NVD)
Low‑privileged session IDs generated for the web admin console could be reused in the XML‑RPC API, whose authentication is normally restricted to admin users. An attacker could leverage this to gain unauthorised access and exploit API‑level vulnerabilities. The session context (web/API) is now recorded along with other session data, preventing session IDs from being used interchangeably.

