Katalog CVE

CVE-2026-54104

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Systemy EPDS i EDS nie weryfikują wartości dostarczanych przez klienta dla parametru 'epds_role_id', co umożliwia zdalnemu, uwierzytelnionemu atakującemu eskalację własnych uprawnień.

Ocena ryzyka

Atakujący może uzyskać dostęp do wyższych uprawnień, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i funkcji systemu.

Rekomendacja

Zaleca się wprowadzenie weryfikacji wartości parametru 'epds_role_id' w celu zapobieżenia eskalacji uprawnień przez nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) trusts client-provided values for the 'epds_role_id' parameter without verification, allowing a remote, authenticated attacker to escalate their own privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS