feiyuchuixue sz-boot-parent до 1.3.2-beta Password Reset password userId эскалация привилегий
Сводка
Уязвимость была найдена в feiyuchuixue sz-boot-parent до 1.3.2-beta. Она была объявлена как критический. Вовлечена неизвестная функция файла /api/admin/sys-user/reset/password/ компонента Password Reset Handler. Манипуляция аргументом userId приводит к Remote Privilege Escalation. Выявление этой уязвимости является CVE-2026-3186. Есть возможность удалённого запуска атаки. Более того, эксплойт доступен. Рекомендуется выполнить обновление уязвимого компонента.
Подробности
Уязвимость была найдена в feiyuchuixue sz-boot-parent до 1.3.2-beta. Она была объявлена как критический. Вовлечена неизвестная функция файла /api/admin/sys-user/reset/password/ компонента Password Reset Handler. Манипуляция аргументом userId приводит к Remote Privilege Escalation. Использование классификатора CWE для обозначения проблемы ведет к CWE-1393. Слабость была опубликована. Консультация представлена на сайте github.com.
Выявление этой уязвимости является CVE-2026-3186. Есть возможность удалённого запуска атаки. Технические детали доступны. Популярность этой уязвимости ниже среднего. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.
Задано как Доказательство концепции. Эксплойт можно загрузить по адресу github.com. .
Обновление до версии 1.3.3-beta способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Название патча следующее aefaabfd7527188bfba3c8c9eee17c316d094802. Исправление готово для загрузки по адресу github.com. Рекомендуется выполнить обновление уязвимого компонента.
Продукт
Поставщик
Имя
Версия
Лицензия
Веб-сайт
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔒VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.7
VulDB Базовый балл: 6.3
VulDB Временная оценка: 5.7
VulDB Вектор: 🔒
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-1393
CAPEC: 🔒
ATT&CK: 🔒
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔒
Обновление: sz-boot-parent 1.3.3-beta
Патч: aefaabfd7527188bfba3c8c9eee17c316d094802
Хронология
25.02.2026 Консультация опубликована25.02.2026 Запись VulDB создана
25.02.2026 Последнее обновление VulDB
Источники
Продукт: github.comКонсультация: github.com
Статус: Подтверждённый
CVE: CVE-2026-3186 (🔒)
GCVE (CVE): GCVE-0-2026-3186
GCVE (VulDB): GCVE-100-347744
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 25.02.2026 09:37Изменения: 25.02.2026 09:37 (62)
Завершенный: 🔍
Отправитель: yuccun
Cache ID: 216::103
Отправить
принято
- Отправить #754037: feiyuchuixue https://github.com/feiyuchuixue/sz-boot-parent sz-boot-parent <= v1.3.2-beta VPE (по yuccun)
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.