| CVE ID | CVE-2024-11504 |
| Data publikacji | 28 marca 2025 |
| Producent podatnego oprogramowania | Streamsoft |
| Nazwa podatnego oprogramowania | Streamsoft Prestiż |
| Podatne wersje | Wszystkie do 18.1.376.37 |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-7407 |
| Data publikacji | 28 marca 2025 |
| Producent podatnego oprogramowania | Streamsoft |
| Nazwa podatnego oprogramowania | Streamsoft Prestiż |
| Podatne wersje | Wszystkie do 18.2.377 |
| Typ podatności (CWE) | Weak Encoding for Password (CWE-261) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o dwóch podatnościach w oprogramowaniu Streamsoft Prestiż i koordynował proces ujawniania informacji.
Podatność CVE-2024-11504 polega na nieodpowiedniej walidacji danych wprowadzonych w różne pola przez użytkownika, co umożliwia atakującemu z dostępem do konta o niskich uprawnieniach na przeprowadzanie ataków typu SQL Injection. Podatność ta została naprawiona w wersji 18.1.376.37.
Podatność CVE-2024-7407 polega na przechowywaniu haseł zakodowanych za pomocą algorytmu, który umożliwia odzyskanie pierwotnych poświadczeń z postaci zakodowanej. Wymagana jest znajomość sposobu, w jaki działa algorytm, co można osiągnąć obserwując, jak kodowane są wprowadzane hasła. Podatność ta została naprawiona w wersji 18.2.377.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Dąbkowskiemu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.