CVE-2026-53675
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
BuddyPress w wersji 14.4.0 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu w API REST dla znajomych, co pozwala uwierzytelnionym atakującym na enumerację pełnej listy znajomych innego użytkownika.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do prywatnych połączeń społecznych użytkowników, co może prowadzić do naruszenia prywatności i zaufania w systemie.
Rekomendacja
Zaleca się aktualizację BuddyPress do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych kontroli dostępu do API.
Oryginalny opis (angielski, źródło NVD)
BuddyPress 14.4.0 contains an insecure direct object reference vulnerability in the friends REST API that allows any authenticated attacker to enumerate another user's complete friend list. Attackers can query the friends endpoint with an arbitrary user_id because the get_items_permissions_check method only verifies that the requester is logged in and never checks ownership of the requested list, resulting in disclosure of users' private social connections.

