Katalog CVE

CVE-2026-53903

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność IDOR w endpointcie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement umożliwia nieautoryzowany dostęp do dokumentów handlowych innych użytkowników. Brak walidacji uprawnień pozwala na odczyt dokumentów na podstawie identyfikatora, który może być łatwo odgadnięty.

Ocena ryzyka

Ryzyko polega na możliwości wycieku wrażliwych danych handlowych, takich jak faktury czy zestawienia transakcji, co może narazić organizację na straty finansowe i naruszenie poufności.

Rekomendacja

Należy natychmiast zaktualizować system MCO do najnowszej dostępnej wersji, jeśli producent wydał łatkę, lub wdrożyć tymczasowe zabezpieczenia, takie jak kontrola dostępu na poziomie aplikacji i losowanie identyfikatorów dokumentów.

Oryginalny opis (angielski, źródło NVD)

MCO is vulnerable to an Insecure Direct Object Reference (IDOR) vulnerability in the /customer/servlet/mco/webapi/trading-document/fetchPdfStatement endpoint. The application does not properly validate whether an authenticated user is authorized to access a requested document, allowing direct retrieval based on a user-supplied identifier. An attacker can access trading documents belonging to other users by providing a valid document ID. Although exploitation requires guessing the identifier, predictable ID patterns enable feasible enumeration, leading to unauthorized disclosure of sensitive information. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS