CVE-2026-48117
ŚrednieCVSS 6.8Streszczenie
Platforma detekcji dronów DroneAware była podatna na atak pre-hijackingowy konta, w którym atakujący mógł zarejestrować konto przy użyciu adresu e-mail ofiary z hasłem kontrolowanym przez atakującego, zanim ofiara aktywowała konto. Po aktywacji konta przez właściciela, hasło ustalone przez atakującego stawało się ważne, co umożliwiało przejęcie konta bez powiadomienia ofiary.
Ocena ryzyka
Atakujący mógł przejąć konto ofiary bez jej wiedzy, co stwarza ryzyko utraty danych i naruszenia prywatności. Organizacje korzystające z tej platformy powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem kont użytkowników.
Rekomendacja
Zaleca się, aby użytkownicy zmienili swoje hasła po aktywacji konta, aby upewnić się, że nie zostały one przejęte. Ponadto, organizacje powinny monitorować konta użytkowników pod kątem nietypowych aktywności.
Oryginalny opis (angielski, źródło NVD)
DroneAware is a drone detection platform. The centralized DroneAware server backing droneaware.io was vulnerable to an account pre-hijacking attack in which an attacker could register an account using a victim's email address with an attacker-controlled password before the victim completed account activation. When the legitimate owner later activated the account, either by clicking the email verification link or by logging in via Google SSO, the attacker-set password became fully valid, enabling silent and persistent account takeover without any notification to the victim. The vulnerability was fixed server-side on 2025-05-20; no user action is required. Node binaries and self-hosted detection nodes are not affected. There are no workarounds; the fix was deployed server-side and no client-side mitigation is applicable.

