CVE-2026-50244
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Platforma Naxclow udostępnia punkt rejestracji, który akceptuje podpisane żądania zawierające prefiks wsadowy oraz dowolny identyfikator konta dostarczony przez wywołującego, bez weryfikacji relacji własności. Każde wywołanie generuje nowy sekwencyjny identyfikator urządzenia i zwraca aktualną wartość licznika wsadowego, co umożliwia precyzyjne enumerowanie aktywnej przestrzeni urządzeń.
Ocena ryzyka
Brak weryfikacji relacji własności stwarza ryzyko, że nieautoryzowani użytkownicy mogą enumerować aktywne urządzenia w systemie, co może prowadzić do dalszych ataków lub nadużyć.
Rekomendacja
Zaleca się wprowadzenie weryfikacji relacji własności dla identyfikatorów konta w punkcie rejestracji oraz ograniczenie dostępu do tego endpointu tylko dla autoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Naxclow platform exposes a registration endpoint that accepts signed requests containing a batch prefix and an arbitrary caller-supplied account identifier, without validating any ownership relationship. Each call mints a new sequential device identifier and returns the current high-water counter value for the batch, allowing callers to measure and enumerate the active device space. The endpoint’s behavior enables precise fleet enumeration.

