CVE ID | CVE-2024-6160 |
Data publikacji | 24 czerwca 2024 |
Producent podatnego oprogramowania | Jan Syski |
Nazwa podatnego oprogramowania | MegaBIP |
Podatne wersje | Wszystkie do 5.12.1 |
Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł podatność w oprogramowaniu MegaBIP i koordynował proces ujawniania informacji.
Podatność CVE-2024-6160 umożliwia dowolnej osobie wstrzyknięcie kodu SQL w zapytaniu, co w konsekwencji może doprowadzić np. do ujawnienia zawartości bazy danych przez atakującego, poznania ciasteczek sesyjnych czy modyfikacji treści stron. Podatność dotyczy programu MegaBIP we wszystkich wersjach do 5.12.1.
Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotycząca Biuletynów Informacji Publicznej
Na stronie Ministerstwa Cyfryzacji została opublikowana Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotycząca Biuletynów Informacji Publicznej dotycząca obowiązku niestosowania systemów SmodBIP i MegaBIP, jako platform Biuletynu Informacji Publicznej (BIP) do udostępniania informacji publicznej. Zgodnie z informacją Pełnomocnika, obowiązek dotyczy podmiotów krajowego systemu cyberbezpieczeństwa, w tym podmiotów publicznych.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.