Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu Windu CMS
18 listopada 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-59110
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59111
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Incorrect Authorization (CWE-863)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59112
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59113
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Improper Restriction of Excessive Authentication Attempts (CWE-307)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59114
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59115
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59116
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Observable Response Discrepancy (CWE-204)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-59117
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania JCD
Nazwa podatnego oprogramowania Windu CMS
Podatne wersje 4.1
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Windu CMS i koordynował proces ujawniania informacji.

Podatność CVE-2025-59110: Windu CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności edycji użytkownika. Zaimplementowany mechanizm ochrony przed CSRF może zostać ominięty poprzez użycie tokenu CSRF innego użytkownika. Rejestracja jest otwarta i każdy może założyć konto.

Podatność CVE-2025-59111: Windu CMS niepoprawnie implementuje weryfikację uprawnień użytkowników w funkcjonalności edycji użytkownika. Atakujący posiadający uprawnienia administratora może wysłać żądanie GET, które umożliwia użytkownikom uprzywilejowanym usunięcie kont Super Administratorów, co nie jest możliwe przy użyciu interfejsu graficznego.

Podatność CVE-2025-59112: Windu CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności edycji użytkownika. Atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie typu POST usuwające wskazanego użytkownika.

Podatność CVE-2025-59113: Windu CMS implementuje słabe zabezpieczenie przed atakami typu brute-force po stronie klienta, wykorzystując parametr loginError. Informacje o liczbie prób lub czasie blokady nie są przechowywane na serwerze, co umożliwia atakującemu obejście tego mechanizmu poprzez resetowanie wspomnianego parametru.

Podatność CVE-2025-59114: Windu CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności przesyłania plików. Atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez ofiarę automatycznie wyśle złośliwy plik na serwer.

Podatność CVE-2025-59115: Windu CMS jest podatny na atak typu Stored Cross-Site Scripting na stronie logowania, gdzie dane wejściowe nie są odpowiednio sanityzowane. Atakujący może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania przez administratora strony z logami.

Podatność CVE-2025-59116: Windu CMS jest umożliwia atakującemu enumerację użytkowników. Problem występuje podczas procesu logowania, gdzie różnice w komunikatach mogą pozwolić atakującemu ustalić, czy podany login jest prawidłowy, co umożliwia przeprowadzenie ataku typu brute force z wykorzystaniem poprawnych loginów.

Podatność CVE-2025-59117: Windu CMS jest podatny na wiele podatności typu Stored Cross-Site Scripting w endpoincie edycji stron /windu/admin/content/pages/edit. Podatność może zostać wykorzystana przez użytkownika uprzywilejowanego i stanowi zagrożenie dla użytkowników o wyższych uprawnieniach.

Producent został wcześnie poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji 4.1 — inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Czubernatowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.