Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu MegaBIP i SmodBIP
20 grudnia 2023 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-5378
Data publikacji 20 grudnia 2023
Producent podatnego oprogramowania Jan Syski
Nazwa podatnego oprogramowania SmodBIP i MegaBIP
Podatne wersje SmodBIP: wszystkie, MegaBIP: wszystkie do 4.36.2 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł podatność typu Stored XSS w oprogramowaniu MegaBIP (obecnie rozwijane) oraz SmodBIP (bez wsparcia), które są systemami zarządzania treścią (CMS) służące podmiotom do utrzymywania Biuletynów Informacji Publicznej (BIP). Podatność ta, której nadano identyfikator CVE-2023-5378, pozwala użytkownikowi znającemu adres panelu administracyjnego na umieszczenie w serwisie skryptu, który może zostać wykonany w przeglądarce administratora. Wśród potencjalnych konsekwencji znajduje się utworzenie nowego konta administratora, co z kolei pozwala na pełne przejęcie strony.

MegaBIP w wersji 4.36.2 oraz SmodBIP w najnowszej dostępnej wersji 2.21 są podatne. Można zatem przyjąć, że wszystkie poprzednie wydania są również podatne. MegaBIP w wersji 5.08 został przetestowany i nie zawiera już tej luki, jednak nieznany jest dokładny zakres podatnych wersji.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.