← volver
CVE-2026-14871highCWE-863

osTicket v1.18.3 - v1.17.7 - BOLA/IDOR in ticket field viewing allows cross-department data disclosure

38Vexday Risk Score

Sin señal de explotación. Ella tiene prueba de concepto pública.

ssvc Attendcvss 7.1
de la publicación al arma0 días
Publicada en NVD17 jul
1ª PoC28 mar
probabilidad de explotación
explotación observada
noninguna fuente lo reporta
1 exploit(s) público(s)
osTicket versions v1.18.3 and v1.17.7 contain a Broken Object Level Authorization (BOLA) leading to Insecure Direct Object Reference (IDOR) in the AJAX ticket-management subsystem.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Productos afectados
osTicket · osTicket
PoCs públicas encontradas1
githubgithub.com/JFOZ1010/CVE-2026-148710
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.