CVE-2026-54104
WysokieCVSS 8.8Streszczenie
Systemy EPDS i EDS nie weryfikują wartości dostarczanych przez klienta dla parametru 'epds_role_id', co umożliwia zdalnemu, uwierzytelnionemu atakującemu eskalację własnych uprawnień.
Ocena ryzyka
Atakujący może uzyskać dostęp do wyższych uprawnień, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i funkcji systemu.
Rekomendacja
Zaleca się wprowadzenie weryfikacji wartości parametru 'epds_role_id' w celu zapobieżenia eskalacji uprawnień przez nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) trusts client-provided values for the 'epds_role_id' parameter without verification, allowing a remote, authenticated attacker to escalate their own privileges.

