CVE-2026-53909
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
MCO nieprawidłowo waliduje typy przesyłanych plików, opierając się wyłącznie na kontroli po stronie klienta, co może zostać ominięte. Uwierzytelniony atakujący z niskimi uprawnieniami może przesłać pliki dowolnego typu na serwer. Podatność potwierdzono w wersji 25.3.3.1, ale może dotyczyć także innych wersji.
Ocena ryzyka
Atakujący może przesłać złośliwe pliki (np. skrypty, pliki wykonywalne) na serwer, co może prowadzić do zdalnego wykonania kodu, eskalacji uprawnień lub dalszej kompromitacji systemu.
Rekomendacja
Należy natychmiast zaimplementować walidację typów plików po stronie serwera oraz ograniczyć dozwolone rozszerzenia plików. Jeśli dostępna jest łatka, zastosuj ją; w przeciwnym razie rozważ tymczasowe wyłączenie funkcji przesyłania plików.
Oryginalny opis (angielski, źródło NVD)
MCO does not correctly validate types of uploaded files. File upload validation functionality relies only on client-side checks, which can be bypassed. An authorized, low-privileged attacker can upload files with arbitrary types to the server. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

