Podatność CWE-284 (Improper Access Control) w usługach webowych Progress Sitefinity umożliwia zdalnemu, nieuwierzytelnionemu atakującemu dostęp do chronionych zasobów bez żadnego uwierzytelnienia. Zagrożenie jest krytyczne, ponieważ skutkuje pełnym naruszeniem poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
CWE-284: Improper Access Control in web services in Progress Sitefinity 15.4.8623 before 15.4.8630 allows a remote unauthenticated attacker to access content that should be restricted, resulting in full compromise of confidentiality, integrity, and availability of affected installations.
Mechanizm kontroli dostępu w usługach webowych Progress Sitefinity nie weryfikuje poprawnie tożsamości żądającego, co pozwala atakującemu na ominięcie wymaganego uwierzytelnienia. Atakujący może wysyłać żądania do chronionych punktów końcowych (web services) bezpośrednio przez sieć, bez podawania jakichkolwiek poświadczeń. Brak wymagania uwierzytelnienia (CVSS PR:N, UI:N) oznacza, że atak nie wymaga interakcji użytkownika ani posiadania konta w systemie.
Atakujący uzyskuje pełny dostęp do treści i funkcji, które powinny być chronione, co skutkuje całkowitym naruszeniem poufności, integralności oraz dostępności zainstalowanego systemu. W praktyce może to oznaczać odczyt, modyfikację lub usunięcie danych, a także potencjalne przejęcie kontroli nad instalacją Sitefinity.
Należy zaktualizować Progress Sitefinity do wersji 15.4.8630 lub nowszej. Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa Progress dostępnym w referencjach producenta.
Progress Sitefinity w wersjach 15.4.8623 do 15.4.8629 (przed wersją 15.4.8630)
Podatność jest częścią zbiorczego biuletynu bezpieczeństwa Progress obejmującego kilka CVE (CVE-2026-7312, CVE-2026-7198, CVE-2026-7195, CVE-2026-7201, CVE-2026-7313) opublikowanego w maju 2026.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HProgress Sitefinity
APPProgress15.4.8623 – 15.4.8630 (bez)
Powiązane podatności
Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412....
Progress Sitefinity: ujawnienie danych uwierzytelniających w usługach web
An issue was discovered in Progress Sitefinity 13.3 before 13.3.7647, 14.0 before 14.0.7736, 14.1 before 14.1....
Progress Sitefinity 12.1 has a Weak Password Recovery Mechanism for a Forgotten Password because the HTTP Host...
Sitefinity 5.1, 5.2, 5.3, 5.4, 6.x, 7.x, 8.x, 9.x, and 10.x allow remote attackers to bypass authentication an...