Katalog CVE

CVE-2026-54103

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Systemy EPDS i EDS nie weryfikują żądań zmiany hasła w punkcie końcowym API '/update-profile/N'. Zdalny, nieautoryzowany atakujący może zmienić hasło dowolnego użytkownika.

Ocena ryzyka

Brak autoryzacji przy zmianie hasła stwarza poważne ryzyko dla bezpieczeństwa kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.

Rekomendacja

Zaleca się wdrożenie mechanizmu autoryzacji dla żądań zmiany hasła, aby zapobiec nieautoryzowanym modyfikacjom kont użytkowników.

Oryginalny opis (angielski, źródło NVD)

The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) does not authenticate password change requests to the '/update-profile/N' API endpoint. A remote, unauthenticated attacker could change an arbitrary user's password.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS