CRITICAL🇬🇧 English

CVE-2026-22239

Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API

CVSS 10.0v4.0pub. 2026-01-14upd. 2026-02-02

W produkcie Bluvoyix firmy Blusparkglobal wykryto podatność w API odpowiedzialnym za wysyłanie wiadomości e-mail, wynikającą z błędów projektowych. Nieuwierzytelniony atakujący zdalny może nadużyć tego API do masowego rozsyłania niechcianych wiadomości w imieniu organizacji korzystającej z produktu.

Pokaż oryginał (EN)

The vulnerability exists in BLUVOYIX due to design flaws in the email sending API. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable email sending API. Successful exploitation of this vulnerability could allow the attacker to send unsolicited emails to anyone on behalf of the company.

🤖 Analiza AI
Jak działa

Podatność (CWE-400 — niekontrolowane zużycie zasobów) wynika z braku odpowiednich mechanizmów uwierzytelniania i ograniczeń dostępu do API wysyłania e-maili. Atakujący wysyła specjalnie spreparowane żądania HTTP do podatnego endpointu API bez konieczności posiadania jakichkolwiek poświadczeń. W wyniku tego serwer przetwarza żądania i wysyła wiadomości e-mail do dowolnych odbiorców, podszywając się pod domenę lub tożsamość firmy korzystającej z Bluvoyix.

Skutki

Atakujący może bez ograniczeń wysyłać niechciane lub złośliwe wiadomości e-mail do dowolnych osób w imieniu firmy, co może prowadzić do poważnych szkód wizerunkowych, naruszenia reputacji domeny, umieszczenia serwera na listach blokujących (blacklistach) oraz potencjalnego nadużycia do kampanii phishingowych lub spamowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako tymczasowe obejście zaleca się ograniczenie dostępu do endpointu API wysyłania e-maili na poziomie firewall lub bramy aplikacyjnej (WAF) wyłącznie do zaufanych źródeł, a także wdrożenie mechanizmów uwierzytelniania i limitowania liczby żądań (rate limiting).

Kogo dotyczy

Produkt Blusparkglobal Bluvoyix — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:H/U:Amber
  • Blusparkglobal Bluvoyix

    APP
    Blusparkglobal
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22236CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)

CVE-2026-22237CRITICAL10.0PL ✓ten sam produkt

Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX

CVE-2026-22238CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy

CVE-2026-22240CRITICAL10.0PL ✓ten sam produkt

BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API