Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Simple SA Wirtualna Uczelnia
27 listopada 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-12140
Data publikacji 27 listopada 2025
Producent podatnego oprogramowania Simple SA
Nazwa podatnego oprogramowania Wirtualna Uczelnia
Podatne wersje Wszystkie poniżej wu#2016.1.5513#0#20251014_113353
Typ podatności (CWE) Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') (CWE-95)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Wirtualna Uczelnia i koordynował proces ujawniania informacji.

Podatność CVE-2025-12140: Oprogramowanie nieprawidłowo przetwarza wartość parametru 'redirectUrlParameter' w endpoincie 'redirectToUrl'. Oprogramowanie interpretuje wprowadzony ciąg znaków jako wyrażenie Java, co umożliwia nieautoryzowanemu atakującemu wykonanie dowolnego kodu. Podatność została usunięta w wersji wu#2016.1.5513#0#20251014_113353.

Podziękowania

Za zgłoszenie podatności dziękujemy Marcinowi Resselowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.