CRITICAL✓ PATCH🇬🇧 English

CVE-2026-7198

Obejście uwierzytelnienia w Progress Sitefinity — pełny dostęp bez logowania

CVSS 9.8v3.1pub. 2026-06-02upd. 2026-06-04

Podatność CWE-284 (Improper Access Control) w usługach webowych Progress Sitefinity umożliwia zdalnemu, nieuwierzytelnionemu atakującemu dostęp do chronionych zasobów bez żadnego uwierzytelnienia. Zagrożenie jest krytyczne, ponieważ skutkuje pełnym naruszeniem poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

CWE-284: Improper Access Control in web services in Progress Sitefinity 15.4.8623 before 15.4.8630 allows a remote unauthenticated attacker to access content that should be restricted, resulting in full compromise of confidentiality, integrity, and availability of affected installations.

🤖 Analiza AI
Jak działa

Mechanizm kontroli dostępu w usługach webowych Progress Sitefinity nie weryfikuje poprawnie tożsamości żądającego, co pozwala atakującemu na ominięcie wymaganego uwierzytelnienia. Atakujący może wysyłać żądania do chronionych punktów końcowych (web services) bezpośrednio przez sieć, bez podawania jakichkolwiek poświadczeń. Brak wymagania uwierzytelnienia (CVSS PR:N, UI:N) oznacza, że atak nie wymaga interakcji użytkownika ani posiadania konta w systemie.

Skutki

Atakujący uzyskuje pełny dostęp do treści i funkcji, które powinny być chronione, co skutkuje całkowitym naruszeniem poufności, integralności oraz dostępności zainstalowanego systemu. W praktyce może to oznaczać odczyt, modyfikację lub usunięcie danych, a także potencjalne przejęcie kontroli nad instalacją Sitefinity.

Mitygacja

Należy zaktualizować Progress Sitefinity do wersji 15.4.8630 lub nowszej. Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa Progress dostępnym w referencjach producenta.

Kogo dotyczy

Progress Sitefinity w wersjach 15.4.8623 do 15.4.8629 (przed wersją 15.4.8630)

Uwagi

Podatność jest częścią zbiorczego biuletynu bezpieczeństwa Progress obejmującego kilka CVE (CVE-2026-7312, CVE-2026-7198, CVE-2026-7195, CVE-2026-7201, CVE-2026-7313) opublikowanego w maju 2026.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Progress Sitefinity

    APP
    Progress
    15.4.8623 – 15.4.8630 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2017-9248CRITICAL9.8⚠ KEVten sam produkt

Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412....

CVE-2026-7312CRITICAL10.0PL ✓ten sam produkt

Progress Sitefinity: ujawnienie danych uwierzytelniających w usługach web

CVE-2023-29375CRITICAL9.8ten sam produkt

An issue was discovered in Progress Sitefinity 13.3 before 13.3.7647, 14.0 before 14.0.7736, 14.1 before 14.1....

CVE-2019-17392CRITICAL9.8ten sam produkt

Progress Sitefinity 12.1 has a Weak Password Recovery Mechanism for a Forgotten Password because the HTTP Host...

CVE-2017-15883CRITICAL9.8ten sam produkt

Sitefinity 5.1, 5.2, 5.3, 5.4, 6.x, 7.x, 8.x, 9.x, and 10.x allow remote attackers to bypass authentication an...