CRITICAL🇬🇧 English

CVE-2026-22236

Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)

CVSS 10.0v4.0pub. 2026-01-14upd. 2026-02-02

W platformie BLUVOYIX firmy Blusparkglobal wykryto krytyczną podatność polegającą na nieprawidłowej implementacji uwierzytelnienia w backendowych API. Nieuwierzytelniony zdalny atakujący może uzyskać pełny dostęp do danych klientów i całkowicie przejąć kontrolę nad platformą.

Pokaż oryginał (EN)

The vulnerability exists in BLUVOYIX due to improper authentication in the BLUVOYIX backend APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable APIs. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego mechanizmu uwierzytelnienia (CWE-287) w backendowych API systemu BLUVOYIX. Atakujący może ją wykorzystać, wysyłając specjalnie spreparowane żądania HTTP bezpośrednio do podatnych endpointów API. Ponieważ mechanizm uwierzytelnienia jest wadliwy, żądania takie są akceptowane i przetwarzane bez weryfikacji tożsamości nadawcy. Atak nie wymaga posiadania żadnych poświadczeń ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełny dostęp do danych wszystkich klientów przechowywanych w platformie oraz całkowicie skompromitować docelowy system, w tym jego zasoby i integralność.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do backendowych API BLUVOYIX na poziomie firewall wyłącznie do zaufanych źródeł oraz monitorowanie logów pod kątem nieautoryzowanych żądań do API.

Kogo dotyczy

Platforma Blusparkglobal BLUVOYIX — wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:M/U:Red
  • Blusparkglobal Bluvoyix

    APP
    Blusparkglobal
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-22237CRITICAL10.0PL ✓ten sam produkt

Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX

CVE-2026-22238CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy

CVE-2026-22239CRITICAL10.0PL ✓ten sam produkt

Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API

CVE-2026-22240CRITICAL10.0PL ✓ten sam produkt

BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API

CVE-2026-22236 — Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass) — CRITICAL 10.0 | CVEbaza.pl