Katalog CVE

CVE-2026-5426

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W systemach Digital Knowledge KnowledgeDeliver przed 24 lutego 2026 roku występuje twardo zakodowana wartość machineKey w ASP.NET/IIS, co pozwala atakującym na obejście mechanizmów walidacji ViewState i uzyskanie zdalnego wykonania kodu poprzez złośliwe ataki deserializacji ViewState.

Ocena ryzyka

Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, w tym na zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację systemów Digital Knowledge KnowledgeDeliver do wersji po 24 lutego 2026 roku, aby usunąć twardo zakodowaną wartość machineKey oraz wprowadzenie dodatkowych mechanizmów zabezpieczeń dla ViewState.

Oryginalny opis (angielski, źródło NVD)

Hard-coded ASP.NET/IIS machineKey value in Digital Knowledge KnowledgeDeliver deployments prior to February 24, 2026 allows adversaries to circumvent ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS