CVE-2026-53908
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność MCO umożliwia enumerację użytkowników poprzez funkcje związane z uwierzytelnianiem. Aplikacja zwraca różne odpowiedzi dla prawidłowych i nieprawidłowych użytkowników podczas operacji przypominania nazwy użytkownika i resetowania hasła. Atakujący może wykorzystać te różnice do wyliczenia prawidłowych nazw użytkowników i adresów e-mail.
Ocena ryzyka
Ryzyko polega na możliwości zebrania przez atakującego listy prawidłowych kont użytkowników, co może być wstępem do dalszych ataków, takich jak phishing czy ataki siłowe na hasła.
Rekomendacja
Zaleca się natychmiastową aktualizację systemu MCO do najnowszej dostępnej wersji, jeśli producent udostępnił łatkę. W przypadku braku aktualizacji należy rozważyć zastosowanie tymczasowych zabezpieczeń, takich jak ograniczenie dostępu do funkcji uwierzytelniania lub wdrożenie mechanizmów opóźniających odpowiedzi.
Oryginalny opis (angielski, źródło NVD)
MCO is vulnerable to User Enumeration through authentication-related functionalities. The application returns distinguishable responses for valid and invalid users during username reminder and password reset operations. An attacker can leverage these differences to enumerate valid usernames and email addresses. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

