CVE-2026-54105 漏洞概述 CNA: Cybersecurity and Infrastructure Security Agency (CISA) U.S. Civilian Government 更新: 2026-06-18 发布: 2026-06-18 标题: U.S. GAO EPDS and CBCA EDS user information disclosure 描述: - 美国政府的问责局(GAO)电子抗议登记系统(EPDS)和民事合同上诉委员会(CBCA)电子登记系统(EDS)通过“更新配置文件”API端点暴露敏感的账户信息。 - 远程未认证的攻击者可以提交包含任意“user_id”参数的请求,并接收包含账户特定信息的JSON响应,包括关联的电子邮件地址。 影响范围 CWE: CWE-639: Authorization Bypass Through User-Controlled Key CVSS: - Score: 6.9 (Medium) - Version: 4.0 - Vector String: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/AV:N/SC:N - Score: 5.3 (Medium) - Version: 3.1 - Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 修复方案 默认状态: unknown 受影响: 2026.03.25 其他信息 Credits: Blake Rash, CISA References: - raw.githubusercontent.com: url - cve.org: url - epds.gao.gov: url - eds.cbc.gov: url