Katalog CVE

CVE-2026-53469

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na wysłanie żądania DELETE do trasy /api/v1/sources, co prowadzi do braku odpowiedniej autoryzacji i filtrowania. To umożliwia zniszczenie wszystkich danych klientów, w tym źródeł, agentów i ocen.

Ocena ryzyka

Luka ta prowadzi do krytycznej utraty dostępności i integralności danych w całej platformie SaaS, co może poważnie wpłynąć na działalność organizacji.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów autoryzacji i filtrowania dla żądań DELETE w trasie /api/v1/sources, aby zapobiec nieautoryzowanemu usuwaniu danych.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in migration-planner. An authenticated user can exploit this vulnerability by sending a DELETE request to the /api/v1/sources route, which lacks proper authorization and filtering. This allows for the destruction of all customer data, including sources, agents, and assessments, leading to a critical loss of availability and integrity across the entire SaaS platform.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS