CVE-2026-5426
KrytyczneStreszczenie
W systemach Digital Knowledge KnowledgeDeliver przed 24 lutego 2026 roku występuje twardo zakodowana wartość machineKey w ASP.NET/IIS, co pozwala atakującym na obejście mechanizmów walidacji ViewState i uzyskanie zdalnego wykonania kodu poprzez złośliwe ataki deserializacji ViewState.
Ocena ryzyka
Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, w tym na zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację systemów Digital Knowledge KnowledgeDeliver do wersji po 24 lutego 2026 roku, aby usunąć twardo zakodowaną wartość machineKey oraz wprowadzenie dodatkowych mechanizmów zabezpieczeń dla ViewState.
Oryginalny opis (angielski, źródło NVD)
Hard-coded ASP.NET/IIS machineKey value in Digital Knowledge KnowledgeDeliver deployments prior to February 24, 2026 allows adversaries to circumvent ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks

