CVE-2026-12593 in Axivioninformación

Resumen

por VulDB • 2026-07-10

La implementación de un punto final interno y no documentado de la API del Panel de Control (POST /api/users/~/{user}/tokens) olvidó garantizar que una solicitud HTTP para crear un Token de API en nombre de otro usuario tuviera los permisos suficientes para hacerlo.

El requisito previo para una explotación exitosa era tener un usuario interno preexistente (con más privilegios que el atacante), conocer su nombre de inicio de sesión y poder autenticarse en el Panel de Control mediante OAuth/OIDC. El atacante tendría entonces que forjar una solicitud de creación de token de API en representación del otro usuario y podría haberse autenticado y completado la creación del token con sus propias credenciales OAuth/OIDC. En el peor caso, esto significaría que un atacante podría convertirse en Administrador del Panel de Control y poder realizar todas las acciones administrativas si el usuario interno preexistente tenía privilegios administrativos. En combinación con una debilidad separada, esto podría haber llevado aún más a la ejecución de código en el sistema host que ejecuta el Panel de Control con los privilegios del Usuario del Sistema Operativo (OS-User) que ejecuta el servidor del Panel de Control.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

TQtC

Reservar

2026-06-18

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377201

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!