Katalog CVE

CVE-2026-50244

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Platforma Naxclow udostępnia punkt rejestracji, który akceptuje podpisane żądania zawierające prefiks wsadowy oraz dowolny identyfikator konta dostarczony przez wywołującego, bez weryfikacji relacji własności. Każde wywołanie generuje nowy sekwencyjny identyfikator urządzenia i zwraca aktualną wartość licznika wsadowego, co umożliwia precyzyjne enumerowanie aktywnej przestrzeni urządzeń.

Ocena ryzyka

Brak weryfikacji relacji własności stwarza ryzyko, że nieautoryzowani użytkownicy mogą enumerować aktywne urządzenia w systemie, co może prowadzić do dalszych ataków lub nadużyć.

Rekomendacja

Zaleca się wprowadzenie weryfikacji relacji własności dla identyfikatorów konta w punkcie rejestracji oraz ograniczenie dostępu do tego endpointu tylko dla autoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Naxclow platform exposes a registration endpoint that accepts signed requests containing a batch prefix and an arbitrary caller-supplied account identifier, without validating any ownership relationship. Each call mints a new sequential device identifier and returns the current high-water counter value for the batch, allowing callers to measure and enumerate the active device space. The endpoint’s behavior enables precise fleet enumeration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS