CVE-2026-56780
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Podatność w Modoboa przed wersją 2.9.0 w punkcie końcowym PUT /api/v1/accounts/{pk}/password/ umożliwia niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Administratorzy domen mogą zmienić hasło dowolnego użytkownika, w tym superadministratora, co prowadzi do pełnego przejęcia konta.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość eskalacji uprawnień przez administratorów domen, którzy mogą przejąć konta superadministratorów i uzyskać nieautoryzowany dostęp do całego systemu Modoboa, co może skutkować naruszeniem poufności i integralności danych.
Rekomendacja
Należy natychmiast zaktualizować Modoboa do wersji 2.9.0 lub nowszej, która zawiera poprawkę usuwającą podatność IDOR. Dodatkowo warto przejrzeć uprawnienia administratorów domen i wdrożyć mechanizmy kontroli dostępu na poziomie obiektów.
Oryginalny opis (angielski, źródło NVD)
Modoboa before 2.9.0 contains an insecure direct object reference vulnerability in the PUT /api/v1/accounts/{pk}/password/ endpoint that allows domain administrators to change any user's password. Attackers with domain admin privileges can bypass object-level access controls to reset superadmin passwords and achieve full account takeover.

