PT-2026-56795 · Qt · Axivion

Publicado

2026-07-09

·

Atualizado

2026-07-09

·

CVE-2026-12593

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Nome do Software Vulnerável e Versões Afetadas O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição Um endpoint de API do Dashboard interno e não documentado POST /api/users/~/{user}/tokens falha ao verificar se uma solicitação para criar um token de API para outro usuário possui as permissões necessárias. Um invasor autenticado via OAuth/OIDC que conheça o nome de login de um usuário interno com mais privilégios pode forjar uma solicitação de criação de token. Isso permite que o invasor se autentique como esse usuário, potencialmente obtendo privilégios de Administrador do Dashboard e realizando todas as ações administrativas. Quando combinado com outra fraqueza, isso poderia levar à execução de código no sistema host com os privilégios do usuário do SO que executa o servidor do Dashboard.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12593

Produtos afetados

Axivion