| CVE ID | CVE-2024-10087 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-10088 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-10089 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-10090 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-13597 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-13598 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-49705 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Uncaught Exception (CWE-248) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-49706 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | URL Redirection to Untrusted Site ('Open Redirect') (CWE-601) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-49707 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-49708 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-49709 |
| Data publikacji | 14 kwietnia 2025 |
| Producent podatnego oprogramowania | SoftCOM |
| Nazwa podatnego oprogramowania | iKSORIS |
| Podatne wersje | Wszystkie do 79.0 |
| Typ podatności (CWE) | Session Fixation (CWE-384) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w module Internet Starter oprogramowania SoftCOM iKSORIS i koordynował proces ujawniania informacji.
Podatność CVE-2024-10087: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może przygotować link zawierający złośliwy skrypt, który zostaje bezpośrednio osadzony w odwołaniach do innych zasobów, co powoduje wielokrotne uruchamianie skryptu w kontekście użytkownika.
Podatność CVE-2024-10088: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza logowania danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-10089: moduł Internet Starter jest podatny na ataki typu Stored XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza zmiany danych użytkownika danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-10090: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza dodawania użytkowników danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-13597: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza wysłanego do panelu logowania pod adresem /softcom/ danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-13598: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Wykorzystując funkcję tworzenia nowych pól formularzy, tworzone są nowe parametry podatne na ataki XSS. Użytkownik nakłoniony do wypełnienia takiego formularza złośliwym skryptem uruchomi go w swoim kontekście.
Podatność CVE-2024-49705: moduł Internet Starter jest podatny na ataki typu Denial of Service (DoS) po stronie klienta. Atakujący może nakłonić użytkownika do skorzystania z URL zawierającego parametr d ustawiony na nieobsługiwaną wartość. Wszystkie kolejne żądania nie będą akceptowane, ponieważ serwer zwraca komunikat o błędzie. Ponieważ parametr ten jest wysyłany jako część ciasteczka sesyjnego, problem utrzymuje się do czasu wygaśnięcia sesji lub ręcznego usunięcia ciasteczek przez użytkownika. Podobny efekt może zostać osiągnięty, gdy użytkownik spróbuje zmienić język platformy na niezaimplementowany.
Podatność CVE-2024-49706: moduł Internet Starter jest podatny na ataki typu Open Redirect poprzez uwzględnienie adresów URL zakodowanych w base64 w parametrze target przesyłanym w żądaniu POST do jednego z endpointów.
Podatność CVE-2024-49707: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza resetowania hasła danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-49708: moduł Internet Starter jest podatny na ataki typu Stored XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza ustawiania adresu dostawy danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-49709: moduł Internet Starter umożliwia ustawienie dowolnej wartości ciasteczka sesyjnego. Atakujący z dostępem do przeglądarki użytkownika może ustawić takie ciasteczko, poczekać aż użytkownik się zaloguje, a następnie użyć tego samego ciasteczka, by przejąć konto. Co więcej, system nie unieważnia starych sesji podczas tworzenia nowych, co wydłuża okno czasowe, w którym atak może zostać przeprowadzony.
Wszystkie podatności usunięte zostały w wersji 79.0 oprogramowania.
Podziękowania
Za zgłoszenie podatności dziękujemy Pawłowi Zdunkowi (Afine Team).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.