CVE-2026-57949
⚪ Do wiadomości
Brak autoryzacji w ruoyi-vue-pro umożliwia dostęp do danych użytkowników przez iterację ID.
CVSS
6.5
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
ruoyi-vue-pro through 2026.05, fixed in commit c779a47, contains a missing authorization vulnerability in the CRM module's GET /admin-api/crm/follow-up-record/get endpoint that allows authenticated users to read any follow-up record by iterating sequential numeric IDs. Attackers can exploit this by sending requests with arbitrary ID parameters to access other users' follow-up notes, file attachments, scheduling information, and business entity references without proper authorization checks.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 6.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-06-29 18:16:39 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-29 19:16:42 UTC |
Referencje
- https://github.com/YunaiV/ruoyi-vue-pro/commit/c779a476617c58a38904191094d22df254b42542 (disclosure@vulncheck.com)
- https://github.com/YunaiV/ruoyi-vue-pro/issues/1159 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/ruoyi-vue-pro-missing-authorization-in-crm-follow-up-record-get-endpoint (disclosure@vulncheck.com)