CVE-2026-44958
ŚrednieCVSS 5.4Streszczenie
Podatność umożliwia użytkownikom na poziomie reklamodawcy aktywację lub dezaktywację banera w Revive Adserver 6.0.6 i wcześniejszych wersjach, nawet jeśli nie przyznano im takich uprawnień. Skrypt banner-edit.php pozwalał na nadpisanie statusu banera wyłącznie na podstawie uprawnień do edycji banera.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane zmiany w statusie banerów reklamowych, co może prowadzić do nieprawidłowego wyświetlania reklam i potencjalnych strat finansowych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Revive Adserver, aby usunąć tę podatność oraz przegląd uprawnień użytkowników w systemie.
Oryginalny opis (angielski, źródło NVD)
An access control bypass allows an advertiser‑level user to activate or deactivate a banner in Revive Adserver 6.0.6 and earlier, even when such permissions were not granted. The banner-edit.php script allowed the banner status to be overwritten solely based on banner edit permissions. The status field has been removed from the hidden form fields in the banner edit screen.

