Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność SQL injection w oprogramowaniu MegaBIP
24 czerwca 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-6160
Data publikacji 24 czerwca 2024
Producent podatnego oprogramowania Jan Syski
Nazwa podatnego oprogramowania MegaBIP
Podatne wersje Wszystkie do 5.12.1
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł podatność w oprogramowaniu MegaBIP i koordynował proces ujawniania informacji.

Podatność CVE-2024-6160 umożliwia dowolnej osobie wstrzyknięcie kodu SQL w zapytaniu, co w konsekwencji może doprowadzić np. do ujawnienia zawartości bazy danych przez atakującego, poznania ciasteczek sesyjnych czy modyfikacji treści stron. Podatność dotyczy programu MegaBIP we wszystkich wersjach do 5.12.1.

Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotycząca Biuletynów Informacji Publicznej

Na stronie Ministerstwa Cyfryzacji została opublikowana Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotycząca Biuletynów Informacji Publicznej dotycząca obowiązku niestosowania systemów SmodBIP i MegaBIP, jako platform Biuletynu Informacji Publicznej (BIP) do udostępniania informacji publicznej. Zgodnie z informacją Pełnomocnika, obowiązek dotyczy podmiotów krajowego systemu cyberbezpieczeństwa, w tym podmiotów publicznych.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.