Katalog CVE

CVE-2026-53911

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Cerebrate przed wersją 1.37 pozwalał na przesyłanie pola klucza głównego 'id' przez dane wejściowe podczas operacji edycji CRUD oraz w niektórych procesach patchowania niestandardowych encji. Umożliwiało to uwierzytelnionemu atakującemu złośliwe modyfikowanie rekordów, co prowadziło do aktualizacji niepowiązanych rekordów.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane modyfikacje danych przez uwierzytelnionych użytkowników, co może prowadzić do naruszenia integralności danych i potencjalnych strat finansowych.

Rekomendacja

Zaleca się aktualizację do wersji Cerebrate 1.37, która wprowadza zabezpieczenia poprzez usunięcie 'id' z danych wejściowych oraz oznaczenie go jako niedostępnego w bazowej encji AppModel.

Oryginalny opis (angielski, źródło NVD)

Cerebrate before version 1.37 allowed the id primary key field to be supplied through request input during CRUD edit operations and certain custom entity patching flows. In affected entities that did not explicitly mark id as inaccessible, an authenticated attacker could submit a crafted edit request containing the id of another record, causing the save operation to update that unrelated record instead of the record identified by the route parameter. The issue affected several entity types inheriting permissive mass-assignment defaults, including User, Role, UserSetting, LocalTool, PermissionLimitation, and EnumerationCollection. Since UserSettings edit functionality was reachable by any authenticated user, exploitation could allow unauthorized modification of records within the same entity type, with impact depending on the affected endpoint and writable fields. Cerebrate 1.37 fixes this by stripping id from request input after marshalling callbacks and by globally marking id as inaccessible in the base AppModel entity. The discovery of those potential vulnerabilities are inherited from initial finding from Jeroen Pinoy additional support from AI-Assisted Optus 4.8 (the commit wrongly assign Claude Fable 5 as the model switched) and coordinated by Andras Iklody.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS