Katalog CVE

CVE-2026-47181

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

W PenguinMod-BackendApi przed wersją 1.0.0 występuje podatność na wstrzyknięcie NoSQL w punkcie resetowania hasła, co pozwala każdemu uwierzytelnionemu użytkownikowi na zmianę hasła do konta, prowadząc do przejęcia konta. Atakujący potrzebuje jedynie zarejestrowanego konta oraz ważnego tokena resetowania hasła dla własnego konta.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko przejęcia konta przez nieautoryzowanych użytkowników, co może prowadzić do utraty danych i naruszenia prywatności. Organizacje powinny być świadome, że każdy uwierzytelniony użytkownik może wykorzystać tę lukę.

Rekomendacja

Zaleca się aktualizację do wersji 1.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa kont użytkowników w celu wykrycia potencjalnych naruszeń.

Oryginalny opis (angielski, źródło NVD)

PenguinMod-BackendApi is the backend api for penguinmod. Prior to version 1.0.0, a NoSQL injection vulnerability in the password reset endpoint allows any authenticated user to change the password of an account, leading to full account takeover. An attacker only needs a registered account and a valid password reset token for their own account. This issue has been patched in version 1.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS