Katalog CVE

CVE-2026-56774

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Kanboard w wersjach do 1.2.52 ma lukę, która pozwala uwierzytelnionym użytkownikom na usuwanie sesji 'Remember Me' innych użytkowników. Problem wynika z braku walidacji parametru identyfikatora sesji w metodzie UserViewController::removeSession.

Ocena ryzyka

Atakujący mogą enumerować sekwencyjne identyfikatory sesji, co prowadzi do masowego unieważniania sesji logowania dla dowolnego użytkownika, w tym administratorów. Może to skutkować wymuszeniem ponownej autoryzacji i powodować odmowę usługi.

Rekomendacja

Zaleca się aktualizację Kanboard do wersji 1.2.53 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń dla sesji użytkowników.

Oryginalny opis (angielski, źródło NVD)

Kanboard through 1.2.52, fixed in commit 928c68a, UserViewController::removeSession fails to validate the session id parameter before passing it to RememberMeSessionModel::remove, allowing authenticated users to delete other users' Remember Me sessions. Attackers can enumerate sequential session IDs and mass-invalidate persistent login sessions of any user, including administrators, forcing re-authentication and causing denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS