CVE-2026-53903
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność IDOR w endpointcie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement umożliwia nieautoryzowany dostęp do dokumentów handlowych innych użytkowników. Brak walidacji uprawnień pozwala na odczyt dokumentów na podstawie identyfikatora, który może być łatwo odgadnięty.
Ocena ryzyka
Ryzyko polega na możliwości wycieku wrażliwych danych handlowych, takich jak faktury czy zestawienia transakcji, co może narazić organizację na straty finansowe i naruszenie poufności.
Rekomendacja
Należy natychmiast zaktualizować system MCO do najnowszej dostępnej wersji, jeśli producent wydał łatkę, lub wdrożyć tymczasowe zabezpieczenia, takie jak kontrola dostępu na poziomie aplikacji i losowanie identyfikatorów dokumentów.
Oryginalny opis (angielski, źródło NVD)
MCO is vulnerable to an Insecure Direct Object Reference (IDOR) vulnerability in the /customer/servlet/mco/webapi/trading-document/fetchPdfStatement endpoint. The application does not properly validate whether an authenticated user is authorized to access a requested document, allowing direct retrieval based on a user-supplied identifier. An attacker can access trading documents belonging to other users by providing a valid document ID. Although exploitation requires guessing the identifier, predictable ID patterns enable feasible enumeration, leading to unauthorized disclosure of sensitive information. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

