CVE-2026-54104 漏洞概述 标题: U.S. GAO EPDS and CBCA EDS client-based privilege escalation 描述: 美国政府问责局(GAO)电子抗议登记系统(EPDS)和民事委员会上诉委员会(CBCA)电子登记系统(EDS)信任客户端提供的值用于“epds_role_id”参数,而无需验证,允许远程攻击者提升其自身权限。 CNA: Cybersecurity and Infrastructure Security Agency (CISA) U.S. Civilian Government 发布日期: 2026-06-18 更新日期: 2026-06-18 标签: exclusively-hosted-service 影响范围 产品: - 供应商: Government Accountability Office - 产品: Electronic Protest Docketing System (EPDS) 受影响版本: 从0开始到2026.03.23 修复方案 CVSS评分: - 8.8 (HIGH) - 3.1 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.7 (HIGH) - 4.0 - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:HVI/HVA:HSC:N 参考链接 cve.org epds.gao.gov eds.cbc.gov raw.githubusercontent.com 信用 Blake Rash, CISA