CVE-2026-53902
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w MCO pozwala uwierzytelnionemu użytkownikowi na modyfikację członkostwa w grupach bez odpowiedniej autoryzacji, co umożliwia eskalację uprawnień. Atakujący może dodać się do dowolnej grupy, podając prawidłowy identyfikator grupy, który może uzyskać z innych funkcji aplikacji lub odgadnąć metodą brute-force.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego podniesienia uprawnień przez atakującego, co może prowadzić do dostępu do wrażliwych danych lub funkcji systemu, a także naruszenia integralności i poufności.
Rekomendacja
Zaleca się natychmiastową aktualizację do najnowszej wersji MCO, jeśli dostępna, oraz wdrożenie poprawek autoryzacji dla endpointu /customer/servlet/mco/webapi/profile-sections/group-membership. Do czasu aktualizacji należy ograniczyć dostęp do tego endpointu tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
MCO does not properly enforce authorization checks in the /customer/servlet/mco/webapi/profile-sections/group-membership endpoint. An authenticated user can modify their group membership without proper authorization checks, allowing privilege escalation. An attacker can add themselves to arbitrary groups by supplying a valid group ID, which can be obtained via other application functionalities (e.g. /customer/servlet/mco/webapi/group/picker/groups), provided he has necessary permissions, or potentially inferred through brute-force techniques. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

