Katalog CVE

CVE-2026-50739

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W Revive Adserver 6.0.7 i wcześniejszych wersjach odkryto obejście podatności CVE-2026-34913, polegające na braku walidacji własności przy odwrotnej operacji łączenia kampanii i trackerów przez skrypt `tracker-campaigns.php`. Użytkownik z niskimi uprawnieniami może połączyć swoje trackery z kampaniami należącymi do innych menedżerów w tej samej instancji, co prowadzi do niespójnych relacji własności.

Ocena ryzyka

Ryzyko polega na naruszeniu integralności danych i kontroli dostępu, ponieważ użytkownik o niskich uprawnieniach może przypisać swoje trackery do kampanii innych menedżerów, potencjalnie manipulując raportowaniem i atrybucją.

Rekomendacja

Należy niezwłocznie zaktualizować Revive Adserver do wersji nowszej niż 6.0.7, która zawiera poprawkę walidacji własności dla operacji łączenia kampanii i trackerów.

Oryginalny opis (angielski, źródło NVD)

A bypass for CVE‑2026‑34913 exists with proper ownership validation that had not been applied to the reverse operation of linking campaigns and trackers through the `tracker-campaigns.php` script in Revive Adserver 6.0.7 and earlier. As a result, a low‑privileged user could link their trackers to campaigns owned by other managers on the same instance, leading to inconsistent ownership relationships.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS