CVE-2026-32865: Kritische Passwort-Reset-Lücke in OPEXUS eComplaint und eCASE
⚠️ CVE-Referenzen:
CVE-2026-32865
Zusammenfassung
In den Versionen von OPEXUS eComplaint und eCASE vor 10.1.0.0 wird ein geheimer Verifizierungscode während eines Passwort-Reset-Vorgangs im HTTP-Response übertragen. Angreifer mit Kenntnis einer gültigen E-Mail-Adresse können dadurch Passwörter ohne weitere Sicherheitsüberprüfung zurücksetzen. Bestehende Sicherheitsfragen, die eine zusätzliche Verifizierung bieten könnten, werden in diesem Prozess umgangen, was das Risiko unberechtigten Zugriffs erhöht.
Opexus - Ecomplaint - CRITICAL - CVE-2026-32865.
OPEXUS eComplaint and eCASE versions before 10.1.0.0 are vulnerable to an issue where a secret verification code is included in the HTTP response during a password reset request. This allows attackers who have knowledge of a valid user’s email address to reset passwords without any additional security checks. Notably, existing security questions that could provide a layer of verification are bypassed in this process, increasing the risk of unauthorized account access.
Quelle: securityvulnerability.io