Opis podatności

CERT Polska w ramach badań własnych znalazł podatność typu Stored XSS w oprogramowaniu MegaBIP (obecnie rozwijane) oraz SmodBIP (bez wsparcia), które są systemami zarządzania treścią (CMS) służące podmiotom do utrzymywania Biuletynów Informacji Publicznej (BIP). Podatność ta, której nadano identyfikator CVE-2023-5378, pozwala użytkownikowi znającemu adres panelu administracyjnego na umieszczenie w serwisie skryptu, który może zostać wykonany w przeglądarce administratora. Wśród potencjalnych konsekwencji znajduje się utworzenie nowego konta administratora, co z kolei pozwala na pełne przejęcie strony.

MegaBIP w wersji 4.36.2 oraz SmodBIP w najnowszej dostępnej wersji 2.21 są podatne. Można zatem przyjąć, że wszystkie poprzednie wydania są również podatne. MegaBIP w wersji 5.08 został przetestowany i nie zawiera już tej luki, jednak nieznany jest dokładny zakres podatnych wersji.