CVE-2026-57945
⚪ Do wiadomości
Luka w PhotoPrism umożliwia nieautoryzowanym użytkownikom modyfikację profili innych użytkowników.
CVSS
4.3
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
PhotoPrism before 260601-a7d098548 contains a broken access control vulnerability that allows authenticated non-admin users to modify other users' profile information by sending requests to arbitrary user endpoints. Attackers can exploit the missing session-to-user identifier validation in the PUT users API endpoint to overwrite another user's profile details without authorization.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 4.3 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-06-29 18:16:39 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-29 19:13:31 UTC |
Referencje
- https://github.com/photoprism/photoprism/issues/5619 (disclosure@vulncheck.com)
- https://github.com/photoprism/photoprism/releases/tag/260601-a7d098548 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/photoprism-unauthorized-user-profile-modification-via-put-api-v1-users-uid-endpoint (disclosure@vulncheck.com)