Katalog CVE

CVE-2026-53673

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

BuddyPress w wersji 14.4.0 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu w interfejsie API REST wiadomości, co pozwala uwierzytelnionym atakującym na dostęp do dowolnych prywatnych wątków wiadomości.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do prywatnych wiadomości innych użytkowników, co prowadzi do naruszenia prywatności i poufności danych.

Rekomendacja

Zaleca się aktualizację BuddyPress do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

BuddyPress 14.4.0 contains an insecure direct object reference vulnerability in the messages REST API that allows authenticated attackers to access arbitrary private message threads by supplying a user_id parameter in the request. Attackers can pass another user's identifier to the get_item_permissions_check method, which validates the supplied user_id instead of the logged-in user and is reused by the update and delete handlers, to read, reply to, or delete any user's private messages.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS