Katalog CVE

CVE-2026-54415

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Brak autoryzacji w trasach zarządzania serwerem w Azuriom CMS przed wersją 1.2.11 pozwala uwierzytelnionemu atakującemu z uprawnieniami admin.access na tworzenie tokenów serwera AzLink oraz przejmowanie kont użytkowników niebędących administratorami poprzez zmianę ich haseł i adresów e-mail.

Ocena ryzyka

Atakujący może uzyskać pełną kontrolę nad kontami użytkowników, co prowadzi do poważnych naruszeń bezpieczeństwa i utraty danych w organizacji.

Rekomendacja

Zaleca się aktualizację Azuriom CMS do wersji 1.2.11 lub nowszej, aby usunąć tę podatność oraz przegląd uprawnień użytkowników w systemie.

Oryginalny opis (angielski, źródło NVD)

Missing Authorization in the server management routes (routes/admin.php) in Azuriom Azuriom CMS before 1.2.11 on all platforms allows an authenticated attacker with the admin.access permission to create AzLink server tokens and take over non-admin user accounts by changing their passwords and email addresses via crafted HTTP requests to /admin/servers/create and the AzLink API endpoints (/api/azlink/password, /api/azlink/email, /api/azlink/user/{id}).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS