PT-2026-56795 · Qt · Axivion
Publicado
2026-07-09
·
Atualizado
2026-07-09
·
CVE-2026-12593
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L |
Nome do Software Vulnerável e Versões Afetadas
O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição
Um endpoint de API do Dashboard interno e não documentado
POST /api/users/~/{user}/tokens falha ao verificar se uma solicitação para criar um token de API para outro usuário possui as permissões necessárias. Um invasor autenticado via OAuth/OIDC que conheça o nome de login de um usuário interno com mais privilégios pode forjar uma solicitação de criação de token. Isso permite que o invasor se autentique como esse usuário, potencialmente obtendo privilégios de Administrador do Dashboard e realizando todas as ações administrativas. Quando combinado com outra fraqueza, isso poderia levar à execução de código no sistema host com os privilégios do usuário do SO que executa o servidor do Dashboard.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Axivion