Katalog CVE

CVE-2026-8406

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

openSIS Classic 9.3 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu w module wiadomości. Każdy uwierzytelniony użytkownik z dostępem do tego modułu może żądać szczegółów wysłanych wiadomości, podając dowolną wartość mail_id.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia poufnych informacji o wiadomościach, co stwarza ryzyko dla prywatności użytkowników i bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji openSIS, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów kontroli dostępu w module wiadomości.

Oryginalny opis (angielski, źródło NVD)

openSIS Classic 9.3 contains an insecure direct object reference vulnerability in the messaging module. Any authenticated user with access to the messaging module can request sent-message details from modules/messaging/SentMail.php by supplying an arbitrary mail_id value.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS