CVE-2026-12593 in Axivion
Zusammenfassung
von VulDB • 09.07.2026
Die Implementierung eines internen und nicht dokumentierten API-Endpunkts für das Dashboard (POST /api/users/~/{user}/tokens) vergaß sicherzustellen, dass eine HTTP-Anforderung zum Erstellen eines API-Tokens für einen anderen Benutzer über ausreichende Berechtigungen dafür verfügte.
Voraussetzung für die erfolgreiche Ausnutzung war ein vorbestehender interner Benutzer (mit mehr Rechten als der Angreifer), dessen Anmeldename dem Angreifer bekannt sein musste und der in der Lage war, sich am Dashboard via OAuth/OIDC zu authentifizieren. Der Angreifer hätte dann eine API-Anforderung zur Token-Erstellung im Namen des anderen Benutzers fälschen müssen und die Authentifizierung sowie den Abschluss der Token-Erstellung mit seinen eigenen OAuth/OIDC-Zugangsdaten durchführen können. Im schlimmsten Fall könnte ein Angreifer dadurch zum Dashboard-Administrator geworden sein und alle administrativen Aktionen hätte ausführen können, wenn der vorbestehende interne Benutzer über administrative Rechte verfügt hätte. In Kombination mit einer separaten Schwachstelle hätte dies zudem zur Code-Ausführung auf dem Hostsystem führen können, das das Dashboard hostet, wobei die Berechtigungen des OS-Benutzers genutzt worden wären, der den Dashboard-Server ausführt.
VulDB is the best source for vulnerability data and more expert information about this specific topic.