Katalog CVE

CVE-2026-57945

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Podatność w PhotoPrism przed wersją 260601-a7d098548 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami modyfikację profili innych użytkowników. Brak walidacji identyfikatora sesji w punkcie końcowym PUT users API pozwala atakującym nadpisać dane profilu bez autoryzacji.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanej modyfikacji danych użytkowników, co może prowadzić do naruszenia integralności kont, eskalacji uprawnień lub kradzieży tożsamości w organizacji.

Rekomendacja

Należy natychmiast zaktualizować PhotoPrism do wersji 260601-a7d098548 lub nowszej, która zawiera poprawkę usuwającą lukę w kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

PhotoPrism before 260601-a7d098548 contains a broken access control vulnerability that allows authenticated non-admin users to modify other users' profile information by sending requests to arbitrary user endpoints. Attackers can exploit the missing session-to-user identifier validation in the PUT users API endpoint to overwrite another user's profile details without authorization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS