CRITICAL🇬🇧 English

CVE-2026-22238

Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy

CVSS 10.0v4.0pub. 2026-01-14upd. 2026-02-02

Podatność w produkcie BLUVOYIX firmy Blusparkglobal polega na braku właściwego uwierzytelnienia w interfejsach API administratora, co umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad platformą. Ze względu na brak jakiejkolwiek weryfikacji tożsamości oraz możliwość uzyskania uprawnień administratora, podatność otrzymała maksymalną ocenę CVSS 10.0.

Pokaż oryginał (EN)

The vulnerability exists in BLUVOYIX due to improper authentication in the BLUVOYIX admin APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable admin API to create a new user with admin privileges. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform by logging in to the newly-created admin user.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądania HTTP do podatnych endpointów admin API bez konieczności posiadania jakichkolwiek danych uwierzytelniających. W wyniku tego możliwe jest utworzenie nowego użytkownika z uprawnieniami administratora. Po utworzeniu takiego konta atakujący loguje się na nie i uzyskuje pełny dostęp do platformy oraz danych klientów. Podatność wynika z braku mechanizmu uwierzytelnienia (CWE-306) oraz nieprawidłowego zarządzania uprawnieniami (CWE-269) w obrębie admin API.

Skutki

Atakujący może uzyskać pełny dostęp do danych wszystkich klientów oraz całkowicie przejąć kontrolę nad platformą BLUVOYIX, w tym zarządzać jej konfiguracją i użytkownikami z poziomem uprawnień administratora.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się zablokowanie dostępu do endpointów admin API na poziomie firewall lub sieci, tak aby były dostępne wyłącznie z zaufanych adresów IP.

Kogo dotyczy

Produkt BLUVOYIX firmy Blusparkglobal — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:H/U:Red
  • Blusparkglobal Bluvoyix

    APP
    Blusparkglobal
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22236CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)

CVE-2026-22237CRITICAL10.0PL ✓ten sam produkt

Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX

CVE-2026-22239CRITICAL10.0PL ✓ten sam produkt

Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API

CVE-2026-22240CRITICAL10.0PL ✓ten sam produkt

BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API