CVE-2026-54105
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Systemy EPDS i EDS ujawniają wrażliwe informacje o kontach poprzez punkt końcowy API 'update-profile/'. Zdalny, nieautoryzowany atakujący może wysłać żądanie z dowolnym parametrem 'user_id' i otrzymać odpowiedź JSON zawierającą informacje specyficzne dla konta, w tym powiązany adres e-mail.
Ocena ryzyka
Ujawnienie wrażliwych informacji o kontach może prowadzić do dalszych ataków, takich jak phishing czy kradzież tożsamości. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do danych użytkowników.
Rekomendacja
Zaleca się zabezpieczenie punktu końcowego API 'update-profile/' poprzez wprowadzenie autoryzacji oraz walidacji parametrów wejściowych. Należy również przeprowadzić audyt bezpieczeństwa systemów EPDS i EDS.
Oryginalny opis (angielski, źródło NVD)
The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) expose sensitive account information through the 'update-profile/' API endpoint. A remote, unauthenticated attacker can submit a request containing an arbitrary 'user_id' parameter and receive a JSON response containing account-specific information, including the associated email address.

