CVE-2026-53469
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na wysłanie żądania DELETE do trasy /api/v1/sources, co prowadzi do braku odpowiedniej autoryzacji i filtrowania. To umożliwia zniszczenie wszystkich danych klientów, w tym źródeł, agentów i ocen.
Ocena ryzyka
Luka ta prowadzi do krytycznej utraty dostępności i integralności danych w całej platformie SaaS, co może poważnie wpłynąć na działalność organizacji.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów autoryzacji i filtrowania dla żądań DELETE w trasie /api/v1/sources, aby zapobiec nieautoryzowanemu usuwaniu danych.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in migration-planner. An authenticated user can exploit this vulnerability by sending a DELETE request to the /api/v1/sources route, which lacks proper authorization and filtering. This allows for the destruction of all customer data, including sources, agents, and assessments, leading to a critical loss of availability and integrity across the entire SaaS platform.

