CVE-2026-12593 in Axivioninfo

Zusammenfassung

von VulDB • 09.07.2026

Die Implementierung eines internen und nicht dokumentierten API-Endpunkts für das Dashboard (POST /api/users/~/{user}/tokens) vergaß sicherzustellen, dass eine HTTP-Anforderung zum Erstellen eines API-Tokens für einen anderen Benutzer über ausreichende Berechtigungen dafür verfügte.



Voraussetzung für die erfolgreiche Ausnutzung war ein vorbestehender interner Benutzer (mit mehr Rechten als der Angreifer), dessen Anmeldename dem Angreifer bekannt sein musste und der in der Lage war, sich am Dashboard via OAuth/OIDC zu authentifizieren. Der Angreifer hätte dann eine API-Anforderung zur Token-Erstellung im Namen des anderen Benutzers fälschen müssen und die Authentifizierung sowie den Abschluss der Token-Erstellung mit seinen eigenen OAuth/OIDC-Zugangsdaten durchführen können. Im schlimmsten Fall könnte ein Angreifer dadurch zum Dashboard-Administrator geworden sein und alle administrativen Aktionen hätte ausführen können, wenn der vorbestehende interne Benutzer über administrative Rechte verfügt hätte. In Kombination mit einer separaten Schwachstelle hätte dies zudem zur Code-Ausführung auf dem Hostsystem führen können, das das Dashboard hostet, wobei die Berechtigungen des OS-Benutzers genutzt worden wären, der den Dashboard-Server ausführt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

TQtC

Reservieren

18.06.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377201

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!