CVE-2026-54105 - U.S. GAO EPDS and CBCA EDS user information disclosure
Özet
Bu kayıt, hedef sistemde bulunan bir zafiyeti detaylandırmaktadır. Zafiyet 2026-06-18 tarihinde yayınlanmış olup, topluluktan 88 görüntülenme almıştır. uzaktan kategorisinde sınıflandırılmıştır. Kullanıcıların teknik detaylar için Detay sekmesindeki kaynak kodunu incelemeleri önerilir.
Zafiyet Özet Bilgileri
Zafiyet Detayı (Türkçe)
ABD Hükümeti Sorumluluk Ofisi (GAO) Elektronik Protesto Dosyalama Sistemi (EPDS) ve Sivil Sözleşme Temyiz Kurulu (CBCA) Elektronik Dosyalama Sistemi (EDS), 'güncelleme profili' API uç noktası aracılığıyla hassas hesap bilgilerini açığa çıkarır. Uzaktaki, kimliği doğrulanmamış bir saldırgan, isteğe bağlı bir 'user_id' parametresi içeren bir istek gönderebilir ve ilişkili e-posta adresi de dahil olmak üzere hesaba özgü bilgileri içeren bir JSON yanıtı alabilir.
Orijinal Açıklama (İngilizce)
The U.S. Government Accountability Office (GAO) Electronic Protest Docketing System (EPDS) and Civilian Board of Contract Appeals (CBCA) Electronic Docketing System (EDS) expose sensitive account information through the 'update-profile/' API endpoint. A remote, unauthenticated attacker can submit a request containing an arbitrary 'user_id' parameter and receive a JSON response containing account-specific information, including the associated email address.
Kaynak Kodu İndir
Çevrimdışı analiz ve test için exploit kaynak kodunu indirin.
Şimdi İndirDosya Boyutu: ~3.4 KB | MD5: dd348fc1a4b1c81368051be1e0d85148
Galeri görseli bulunmuyor.
Henüz tartışma başlatılmamış.