CRITICAL🇬🇧 English

CVE-2026-22237

Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX

CVSS 10.0v4.0pub. 2026-01-14upd. 2026-02-02

Podatność w produkcie BLUVOYIX polega na nieautoryzowanym ujawnieniu wewnętrznej dokumentacji API, co umożliwia nieuwierzytelnionemu atakującemu zdalne nadużycie wewnętrznych funkcji platformy. Oceniona jako KRYTYCZNA z maksymalnym wynikiem CVSS 10.0, stanowi poważne zagrożenie dla integralności i dostępności systemu.

Pokaż oryginał (EN)

The vulnerability exists in BLUVOYIX due to the exposure of sensitive internal API documentation. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the APIs exposed by the documentation. Successful exploitation of this vulnerability could allow the attacker to cause damage to the targeted platform by abusing internal functionality.

🤖 Analiza AI
Jak działa

Wewnętrzna dokumentacja API jest dostępna bez uwierzytelnienia, ujawniając szczegóły dotyczące działania i struktury interfejsów programistycznych produktu. Nieuwierzytelniony atakujący zdalnie wysyła specjalnie spreparowane żądania HTTP do punktów końcowych (endpoints) opisanych w tej dokumentacji. Poprzez nadużycie ujawnionych wewnętrznych funkcji możliwe jest wyrządzenie szkód w atakowanej platformie.

Skutki

Atakujący może bez żadnego uwierzytelnienia zdalnie nadużyć wewnętrznych funkcji platformy BLUVOYIX, powodując szkody w jej działaniu, integralności danych oraz dostępności usług. Ze względu na pełny wpływ na poufność, integralność i dostępność zarówno systemu docelowego, jak i systemów z nim powiązanych, skutki mogą mieć charakter krytyczny.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do dokumentacji API wyłącznie dla uwierzytelnionych i autoryzowanych użytkowników oraz monitorowanie ruchu HTTP kierowanego do wewnętrznych punktów końcowych API.

Kogo dotyczy

Produkt Blusparkglobal BLUVOYIX — konkretne wersje nie zostały wskazane w opisie; szczegóły dostępne w referencjach producenta.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:L/U:Amber
  • Blusparkglobal Bluvoyix

    APP
    Blusparkglobal
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22236CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)

CVE-2026-22238CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy

CVE-2026-22239CRITICAL10.0PL ✓ten sam produkt

Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API

CVE-2026-22240CRITICAL10.0PL ✓ten sam produkt

BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API