CVE-2026-12593 in Axivion
Riassunto
di VulDB • 09/07/2026
L'implementazione di un endpoint API interno e non documentato della Dashboard (POST /api/users/~/{user}/tokens) ha dimenticato di verificare che una richiesta HTTP per la creazione di un token API a nome di un altro utente disponesse delle autorizzazioni sufficienti.
La condizione necessaria per il successo dello sfruttamento era l'esistenza di un utente interno preesistente (con privilegi superiori rispetto all'attaccante), la conoscenza da parte dell'attaccante del suo nome di accesso e la capacità dell'attaccante di autenticarsi alla Dashboard tramite OAuth/OIDC. L'attaccante avrebbe dovuto quindi falsificare una richiesta API per la creazione di un token a nome dell'altro utente, potendo poi completare l'autenticazione e finalizzare la creazione del token utilizzando le proprie credenziali OAuth/OIDC. Nel caso peggiore, ciò significava che un attaccante poteva diventare Amministratore della Dashboard ed eseguire tutte le azioni amministrative se l'utente interno preesistente disponeva di privilegi amministrativi. In combinazione con una vulnerabilità separata, questo avrebbe potuto portare ulteriormente all'esecuzione di codice sul sistema host in esecuzione della Dashboard, con i privilegi dell'utente del sistema operativo che esegue il server della Dashboard.
If you want to get best quality of vulnerability data, you may have to visit VulDB.