Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu SOWA OPAC
01 lipca 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-6050
Data publikacji 01 lipca 2024
Producent podatnego oprogramowania SOKRATES-software
Nazwa podatnego oprogramowania SOWA OPAC
Podatne wersje Od 4.0 do 4.9.10, od 5.0 do 6.2.12
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu dla bibliotek SOWA OPAC firmy SOKRATES-software i koordynował proces ujawniania informacji.

Podatność CVE-2024-6050 typu Reflected Cross-Site Scripting (XSS) umożliwia wykonanie skryptu w przeglądarce użytkownika, który zostanie nakłoniony przez atakującego do użycia spreparowanego linku. Podatność dotyczy oprogramowania w seriach 4.x, 5.x i 6.x. Podatność została usunięta w wersjach 4.9.10 i 6.2.12 (wersje z serii 5.x zostały zastąpione przez wersje z serii 6.x).

Podziękowania

Za zgłoszenie podatności dziękujemy Kacprowi Rybczyńskiemu. Dziękujemy także producentowi oprogramowania za natychmiastową reakcję i usunięcie zgłoszonego błędu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.