| CVE ID | CVE-2024-6050 |
| Data publikacji | 01 lipca 2024 |
| Producent podatnego oprogramowania | SOKRATES-software |
| Nazwa podatnego oprogramowania | SOWA OPAC |
| Podatne wersje | Od 4.0 do 4.9.10, od 5.0 do 6.2.12 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu dla bibliotek SOWA OPAC firmy SOKRATES-software i koordynował proces ujawniania informacji.
Podatność CVE-2024-6050 typu Reflected Cross-Site Scripting (XSS) umożliwia wykonanie skryptu w przeglądarce użytkownika, który zostanie nakłoniony przez atakującego do użycia spreparowanego linku. Podatność dotyczy oprogramowania w seriach 4.x, 5.x i 6.x. Podatność została usunięta w wersjach 4.9.10 i 6.2.12 (wersje z serii 5.x zostały zastąpione przez wersje z serii 6.x).
Podziękowania
Za zgłoszenie podatności dziękujemy Kacprowi Rybczyńskiemu. Dziękujemy także producentowi oprogramowania za natychmiastową reakcję i usunięcie zgłoszonego błędu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.