CVE-2026-39355
KrytyczneStreszczenie
Aplikacja Genealogy, służąca do tworzenia drzew genealogicznych, przed wersją 5.9.1 zawierała krytyczną podatność na złamanie kontroli dostępu. Umożliwiała ona każdemu uwierzytelnionemu użytkownikowi przeniesienie własności dowolnych, nieosobistych zespołów na siebie, co prowadziło do przejęcia przestrzeni roboczej innych użytkowników.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając nieautoryzowany dostęp do danych genealogicznych związanych z przejętymi zespołami. Może to prowadzić do utraty poufności i integralności danych.
Rekomendacja
Zaleca się aktualizację aplikacji Genealogy do wersji 5.9.1 lub nowszej, aby usunąć tę krytyczną podatność i zabezpieczyć dostęp do danych.
Oryginalny opis (angielski, źródło NVD)
Genealogy is a family tree PHP application. Prior to 5.9.1, a critical broken access control vulnerability in the genealogy application allows any authenticated user to transfer ownership of arbitrary non-personal teams to themselves. This enables complete takeover of other users’ team workspaces and unrestricted access to all genealogy data associated with the compromised team. This vulnerability is fixed in 5.9.1.

