| CVE ID | CVE-2024-1576 |
| Data publikacji | 12 czerwca 2024 |
| Producent podatnego oprogramowania | Jan Syski |
| Nazwa podatnego oprogramowania | MegaBIP |
| Podatne wersje | Wszystkie do 5.09 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
| Źródło zgłoszenia | Badania własne |
| CVE ID | CVE-2024-1577 |
| Data publikacji | 12 czerwca 2024 |
| Producent podatnego oprogramowania | Jan Syski |
| Nazwa podatnego oprogramowania | MegaBIP |
| Podatne wersje | Wszystkie do 5.11.2 włącznie |
| Typ podatności (CWE) | Improper Control of Generation of Code ('Code Injection') (CWE-94) |
| Źródło zgłoszenia | Badania własne |
| CVE ID | CVE-2024-1659 |
| Data publikacji | 12 czerwca 2024 |
| Producent podatnego oprogramowania | Jan Syski |
| Nazwa podatnego oprogramowania | MegaBIP |
| Podatne wersje | Wszystkie do 5.10 włącznie |
| Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł podatności w oprogramowaniu MegaBIP i koordynował proces ujawniania informacji.
Podatność CVE-2024-1576 poprzez wstrzyknięcie zapytania SQL umożliwia dowolnej osobie na uzyskanie uprawnień administratora strony, w tym m.in. dostępu do panelu administracyjnego oraz możliwości zmiany hasła administratora. Podatność została usunięta przez autora oprogramowania w wersji 5.10.
Podatność CVE-2024-1577 umożliwia wykonywanie dowolnego kodu na serwerze bez konieczności uwierzytelnienia poprzez zapisanie spreparowanego przez atakującego kodu PHP do jednego z plików strony. Podatność została usunięta przez autora oprogramowania w wersji 5.12.
Podatność CVE-2024-1659 umożliwia atakującemu wgranie dowolnego pliku na serwer (w tym pliku z kodem PHP) bez konieczności uwierzytelniania. Podatność została usunięta przez autora oprogramowania w wersji 5.11.
Pomimo wielokrotnego kontaktu z autorem oprogramowania, odpowiednie poprawki i przekazane zalecenia nie zostały wdrożone. Działając jako CSIRT NASK, na podstawie art. 33 ust. 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 2023 poz. 913 i 1703) wystąpliliśmy o wydanie stosownych rekomendacji.
Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotycząca Biuletynów Informacji Publicznej
Na stronie Ministerstwa Cyfryzacji została opublikowana Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotycząca Biuletynów Informacji Publicznej dotycząca obowiązku niestosowania systemów SmodBIP i MegaBIP, jako platform Biuletynu Informacji Publicznej (BIP) do udostępniania informacji publicznej. Zgodnie z informacją Pełnomocnika, obowiązek dotyczy podmiotów krajowego systemu cyberbezpieczeństwa, w tym podmiotów publicznych.
Aktualizacja 18.06.2024
Została opublikowana wersja 5.12 oprogramowania MegaBIP, w której usunięto podatność CVE-2024-1577. W związku z tym zaktualizowaliśmy informacje na temat wersji programu objętych tą podatnością.
Aktualizacja 24.06.2024
W programie MegaBIP do wersji 5.12.1 znaleziona została kolejna podatność typu SQL injection. Podatności nadaliśmy identyfikator CVE-2024-6160.
Aktualizacja 09.07.2024
W programie MegaBIP do wersji 5.13 znaleziona została kolejna podatność typu SQL injection. Podatności nadaliśmy identyfikator CVE-2024-6527.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.