Katalog CVE

CVE-2026-54106

ŚrednieCVSS 4.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Systemy EPDS i EDS nie weryfikują nagłówków HTTP X-Forwarded-For, co pozwala zdalnemu atakującemu z przejętymi uprawnieniami administratora na ominięcie kontroli dostępu do sieci i zalogowanie się.

Ocena ryzyka

Atakujący mogą uzyskać nieautoryzowany dostęp do systemów, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.

Rekomendacja

Zaleca się wprowadzenie weryfikacji nagłówków X-Forwarded-For oraz monitorowanie i ograniczenie dostępu do kont administratorów.

Oryginalny opis (angielski, źródło NVD)

The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) do not validate X-Forwarded-For HTTP headers, allowing a remote attacker with compromised administrator credentials to bypass network access controls and log in.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS