| CVE ID | CVE-2023-5378 |
| Data publikacji | 20 grudnia 2023 |
| Producent podatnego oprogramowania | Jan Syski |
| Nazwa podatnego oprogramowania | SmodBIP i MegaBIP |
| Podatne wersje | SmodBIP: wszystkie, MegaBIP: wszystkie do 4.36.2 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł podatność typu Stored XSS w oprogramowaniu MegaBIP (obecnie rozwijane) oraz SmodBIP (bez wsparcia), które są systemami zarządzania treścią (CMS) służące podmiotom do utrzymywania Biuletynów Informacji Publicznej (BIP). Podatność ta, której nadano identyfikator CVE-2023-5378, pozwala użytkownikowi znającemu adres panelu administracyjnego na umieszczenie w serwisie skryptu, który może zostać wykonany w przeglądarce administratora. Wśród potencjalnych konsekwencji znajduje się utworzenie nowego konta administratora, co z kolei pozwala na pełne przejęcie strony.
MegaBIP w wersji 4.36.2 oraz SmodBIP w najnowszej dostępnej wersji 2.21 są podatne. Można zatem przyjąć, że wszystkie poprzednie wydania są również podatne. MegaBIP w wersji 5.08 został przetestowany i nie zawiera już tej luki, jednak nieznany jest dokładny zakres podatnych wersji.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.