CVE-2026-12593 in Axivion정보

요약

\~에 의해 VulDB • 2026. 07. 10.

내부 문서화되지 않은 대시보드 API 엔드포인트(POST /api/users/~/{user}/tokens)의 구현에서, 다른 사용자를 위한 API 토큰 생성을 요청하는 HTTP 요청에 충분한 권한이 있는지 확인하지 않았습니다.



성공적인 악용을 위해서는 공격자보다 더 많은 권한을 가진 기존 내부 사용자가 존재해야 하며, 공격자가 해당 사용자의 로그인 이름을 알고 있고 OAuth/OIDC를 통해 대시보드에 인증할 수 있어야 합니다. 그런 다음 공격자는 다른 사용자 대신 토큰 생성 API 요청을 위조하고 자신의 OAuth/OIDC 자격 증명으로 인증하여 토큰 생성을 완료해야 했습니다. 최악의 경우, 기존 내부 사용자가 관리 권한을 가지고 있었다면 공격자가 대시보드 관리자가 되어 모든 관리 작업을 수행할 수 있었습니다. 별도의 취약점과 결합하면 이 문제는 대시보드를 실행하는 호스트 시스템에서 코드 실행으로 이어질 수 있으며, 이는 대시보드 서버를 실행 중인 OS 사용자의 권한으로 이루어집니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

TQtC

예약하다

2026. 06. 18.

모더레이션

수락

항목

VDB-377201

EPSS

0.00000

출처

Might our Artificial Intelligence support you?

Check our Alexa App!