CVE-2026-12593 in Axivion
요약
\~에 의해 VulDB • 2026. 07. 10.
내부 문서화되지 않은 대시보드 API 엔드포인트(POST /api/users/~/{user}/tokens)의 구현에서, 다른 사용자를 위한 API 토큰 생성을 요청하는 HTTP 요청에 충분한 권한이 있는지 확인하지 않았습니다.
성공적인 악용을 위해서는 공격자보다 더 많은 권한을 가진 기존 내부 사용자가 존재해야 하며, 공격자가 해당 사용자의 로그인 이름을 알고 있고 OAuth/OIDC를 통해 대시보드에 인증할 수 있어야 합니다. 그런 다음 공격자는 다른 사용자 대신 토큰 생성 API 요청을 위조하고 자신의 OAuth/OIDC 자격 증명으로 인증하여 토큰 생성을 완료해야 했습니다. 최악의 경우, 기존 내부 사용자가 관리 권한을 가지고 있었다면 공격자가 대시보드 관리자가 되어 모든 관리 작업을 수행할 수 있었습니다. 별도의 취약점과 결합하면 이 문제는 대시보드를 실행하는 호스트 시스템에서 코드 실행으로 이어질 수 있으며, 이는 대시보드 서버를 실행 중인 OS 사용자의 권한으로 이루어집니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.