Katalog CVE

CVE-2026-56780

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Podatność w Modoboa przed wersją 2.9.0 w punkcie końcowym PUT /api/v1/accounts/{pk}/password/ umożliwia niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Administratorzy domen mogą zmienić hasło dowolnego użytkownika, w tym superadministratora, co prowadzi do pełnego przejęcia konta.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość eskalacji uprawnień przez administratorów domen, którzy mogą przejąć konta superadministratorów i uzyskać nieautoryzowany dostęp do całego systemu Modoboa, co może skutkować naruszeniem poufności i integralności danych.

Rekomendacja

Należy natychmiast zaktualizować Modoboa do wersji 2.9.0 lub nowszej, która zawiera poprawkę usuwającą podatność IDOR. Dodatkowo warto przejrzeć uprawnienia administratorów domen i wdrożyć mechanizmy kontroli dostępu na poziomie obiektów.

Oryginalny opis (angielski, źródło NVD)

Modoboa before 2.9.0 contains an insecure direct object reference vulnerability in the PUT /api/v1/accounts/{pk}/password/ endpoint that allows domain administrators to change any user's password. Attackers with domain admin privileges can bypass object-level access controls to reset superadmin passwords and achieve full account takeover.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS