CVE-2026-12593 in Axivioninformação

Sumário

de VulDB • 09/07/2026

A implementação de um ponto final da API interna e não documentado do painel (POST /api/users/~/{user}/tokens) deixou de garantir que uma solicitação HTTP para criar um token de API em nome de outro usuário tivesse permissões suficientes para tal.

O pré-requisito para a exploração bem-sucedida era a existência de um usuário interno preexistente (com mais privilégios do que o atacante), o conhecimento, por parte do atacante, do seu nome de login e a capacidade do atacante se autenticar no painel via OAuth/OIDC. O atacante teria então que forjar uma solicitação de criação de token da API em nome do outro usuário e poderia ter concluído a autenticação e finalizado a criação do token com suas próprias credenciais OAuth/OIDC. No pior caso, isso significaria que um atacante poderia se tornar Administrador do painel e executar todas as ações administrativas se o usuário interno preexistente tivesse privilégios de administrador. Em combinação com uma vulnerabilidade separada, isso poderia ter levado ainda à execução de código no sistema host executando o painel, com os privilégios do usuário do SO que executa o servidor do painel.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

TQtC

Reservar

18/06/2026

Divulgação

09/07/2026

Moderação

aceite

Entrada

VDB-377201

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!