CVE-2026-53905
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Podatność w MCO polega na braku odpowiedniej autoryzacji w endpointcie /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure. Uwierzytelniony użytkownik z niskimi uprawnieniami może odczytać struktury kontroli dostępu administratora, co może ujawnić wrażliwe mapowania uprawnień i szczegóły konfiguracji wewnętrznej.
Ocena ryzyka
Ryzyko polega na możliwości eskalacji uprawnień przez nieautoryzowany dostęp do struktur ACL administratora, co może prowadzić do wycieku poufnych danych konfiguracyjnych i mapowań uprawnień.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek bezpieczeństwa od producenta lub tymczasowe ograniczenie dostępu do endpointu poprzez reguły firewall i filtrowanie żądań.
Oryginalny opis (angielski, źródło NVD)
MCO does not properly enforce authorization checks in the /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure endpoint. An authenticated, low-privileged user can retrieve administrator access control structures without proper authorization checks. This may expose sensitive permission mappings and internal configuration details. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

