CVE-2026-54106
ŚrednieCVSS 4.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Systemy EPDS i EDS nie weryfikują nagłówków HTTP X-Forwarded-For, co pozwala zdalnemu atakującemu z przejętymi uprawnieniami administratora na ominięcie kontroli dostępu do sieci i zalogowanie się.
Ocena ryzyka
Atakujący mogą uzyskać nieautoryzowany dostęp do systemów, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.
Rekomendacja
Zaleca się wprowadzenie weryfikacji nagłówków X-Forwarded-For oraz monitorowanie i ograniczenie dostępu do kont administratorów.
Oryginalny opis (angielski, źródło NVD)
The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) do not validate X-Forwarded-For HTTP headers, allowing a remote attacker with compromised administrator credentials to bypass network access controls and log in.

