Katalog CVE

CVE-2026-45342

WysokieCVSS 7.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

LinkAce to samodzielnie hostowane archiwum do zbierania linków do stron internetowych. W wersjach przed 2.5.6 występuje podatność na Insecure Direct Object Reference w warstwie polityki autoryzacji, która pozwala każdemu uwierzytelnionemu użytkownikowi na modyfikację zasobów należących do innych użytkowników, takich jak linki, listy, tagi i notatki.

Ocena ryzyka

Podatność ta umożliwia nieautoryzowane edytowanie publicznych i wewnętrznych zasobów przez zarejestrowanych użytkowników, co może prowadzić do utraty integralności danych i naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację LinkAce do wersji 2.5.6 lub nowszej, aby usunąć tę podatność oraz przegląd polityki dostępu do zasobów w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

LinkAce is a self-hosted archive to collect website links. Prior to 2.5.6, LinkAce contains an Insecure Direct Object Reference vulnerability in the authorization policy layer that allows any authenticated user to modify resources owned by other users. The affected resource types are links, lists, tags, and notes. Both the web UI and the REST API are vulnerable. The root cause is in the update() methods of all four model policies: LinkPolicy, LinkListPolicy, TagPolicy, and NotePolicy. Each delegates to an access-check method (e.g., userCanAccessLink()) that returns true for any resource with non-private visibility, regardless of who owns it. This means any registered user can edit any public or internal resource across the entire instance. The delete() methods in the same policy files correctly require ownership via $link->user->is($user), which confirms that update was intended to be owner-only. The same flaw exists in the API layer through AuthorizesUserApiActions::userCanUpdateModel(), which mirrors the broken visibility-only check instead of the ownership check used by userCanDeleteModel(). Bulk edit operations via BulkEditController are also affected. This vulnerability is fixed in 2.5.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS