← Back
CVE-2026-56780
high
CVSS 7.5
Modoboa before 2.9.0 contains an insecure direct object reference vulnerability in the PUT /api...
Summary
Modoboa before 2.9.0 contains an insecure direct object reference vulnerability in the PUT /api...
AI summary openai / gpt-4o
Modoboaのバージョン2.9.0より前には、ドメイン管理者が任意のユーザーパスワードを変更できる脆弱性があります。具体的には、PUT /api/v1/accounts/{pk}/password/エンドポイントにおける不適切な直接オブジェクト参照により、攻撃者はオブジェクトレベルのアクセス制御をバイパスし、スーパーデジタルパスワードをリセットすることが可能です。これにより、完全なアカウント乗っ取りが可能になります。
❓ What is the problem
ModoboaのAPIでの不適切な直接オブジェクト参照により、ドメイン管理者が任意のユーザーパスワードを変更できる脆弱性。
📍 Affected scope
Modoboaのバージョン2.9.0より前のPUT /api/v1/accounts/{pk}/password/エンドポイント。
🔥 Severity
攻撃者はオブジェクトレベルのアクセス制御をバイパスし、スーパーデジタルパスワードをリセットしてアカウント乗っ取りが可能。
🔧 How to fix
Modoboaをバージョン2.9.0以降にアップデートする。
🛡️ Workaround
情報なし
🔍 Detection
アクセスログを監視して、異常なパスワード変更リクエストを検出する。