CVE-2026-56780
🟡 Monitoruj
Niebezpieczne odniesienie do obiektu w Modoboa pozwala administratorom zmieniać hasła użytkowników.
CVSS
7.5
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
Modoboa before 2.9.0 contains an insecure direct object reference vulnerability in the PUT /api/v1/accounts/{pk}/password/ endpoint that allows domain administrators to change any user's password. Attackers with domain admin privileges can bypass object-level access controls to reset superadmin passwords and achieve full account takeover.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 7.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-06-29 18:16:38 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-29 19:13:31 UTC |
Referencje
- https://github.com/modoboa/modoboa/commit/a1878c4920a6e47c3217c6ff1ed4a8753c202661 (disclosure@vulncheck.com)
- https://github.com/modoboa/modoboa/pull/4038 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/modoboa-insecure-direct-object-reference-in-account-password-change-api (disclosure@vulncheck.com)