CVE-2026-49952: Krytyczna luka uwierzytelniania w Discuz! X5.0 umożliwiająca nieautoryzowany dostęp do kopii zapasowych bazy danych

Krytyczna luka w Discuz! X5.0 pozwala na obejście uwierzytelniania i dostęp do funkcji kopii zapasowych bazy danych. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-49952CVSS 9.3Web

CVE-2026-49952: Krytyczna luka uwierzytelniania w Discuz! X5.0 umożliwiająca nieautoryzowany dostęp do kopii zapasowych bazy danych

Krytyczna luka w Discuz! X5.0 pozwala na obejście uwierzytelniania i dostęp do funkcji kopii zapasowych bazy danych. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.3 CRITICAL
EPSS
36.66%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach Discuz! X5.0 od 20260320 do 20260501 wykryto krytyczną lukę umożliwiającą zdalnym, nieautoryzowanym atakującym dostęp do funkcji tworzenia i przywracania kopii zapasowych bazy danych. Luka wynika z wykorzystania współdzielonego klucza kryptograficznego między integracją UCenter a API kopii zapasowej, co pozwala na obejście uwierzytelniania i podszywanie się pod dowolnych użytkowników.

Wpływ biznesowy

Atakujący mogą uzyskać pełny dostęp do funkcji eksportu i importu bazy danych bez uwierzytelnienia, co stwarza poważne ryzyko wycieku, modyfikacji lub utraty danych. Dodatkowo możliwość wywołania warunku wyścigu pozwala na podszywanie się pod innych użytkowników, zwiększając potencjalne szkody. Organizacje korzystające z podatnych wersji Discuz! X5.0 powinny traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Discuz! X5.0. W międzyczasie ograniczyć dostęp do pliku dbbak.php oraz monitorować logi pod kątem podejrzanych prób logowania i operacji na bazie danych. Wdrożyć dodatkowe mechanizmy kontroli dostępu i rozważyć tymczasowe wyłączenie funkcji kopii zapasowych dostępnych przez API, jeśli to możliwe.

Źródła