Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu SOPlanning
20 listopada 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-62293
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Missing Authorization (CWE-862)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62294
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Generation of Predictable Numbers or Identifiers (CWE-340)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62295
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62296
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62297
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62729
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62730
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Incorrect Authorization (CWE-863)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-62731
Data publikacji 20 listopada 2025
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie poniżej 1.55
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu SOPlanning i koordynował proces ujawniania informacji.

Podatność CVE-2025-62293: SOPlanning z powodu braku kontroli uprawnień w funkcjonalności Project Status pozwala każdemu uwierzytelnionemu atakującemu dodawać, edytować i usuwać dowolne statusy poprzez endpoint /status.

Podatność CVE-2025-62294: SOPlanning wykorzystuje słaby mechanizm generowania tokenów odzyskiwania hasła. Atakujący może przeprowadzić atak brute-force na wszystkie możliwe wartości i przejąć dowolne konto w rozsądnym czasie.

Podatność CVE-2025-62295: SOPlanning jest podatny na Stored XSS w endpoincie /groupe_form. Atakujący z średnimi uprawnieniami może wstrzyknąć dowolny kod HTML i JS do witryny, który zostanie wyrenderowany/wykonany podczas otwierania edytora.

Podatność CVE-2025-62296: SOPlanning jest podatny na Stored XSS w endpoincie /taches. Atakujący z średnimi uprawnieniami może wstrzyknąć dowolny kod HTML i JS do witryny, który zostanie wyrenderowany/wykonany podczas otwierania edytora.

Podatność CVE-2025-62297: SOPlanning jest podatny na Stored XSS w endpoincie /projets. Atakujący z średnimi uprawnieniami może wstrzyknąć dowolny kod HTML i JS do witryny, który zostanie wyrenderowany/wykonany podczas otwierania dowolnej strony.

Podatność CVE-2025-62729: SOPlanning jest podatny na Stored XSS w endpoincie /status. Atakujący z średnimi uprawnieniami może wstrzyknąć dowolny kod HTML i JS do witryny, który zostanie wyrenderowany/wykonany podczas otwierania wielu stron.

Podatność CVE-2025-62730: W SOPlanning użytkownicy z rolą user_manage_team mogą modyfikować uprawnienia użytkowników. Są w stanie przypisać uprawnienia administracyjne dowolnemu użytkownikowi, w tym sobie. Pozwala to atakującemu z tą rolą na eskalację do uprawnień administratora. Problem dotyczy zarówno funkcjonalności masowej aktualizacji, jak i zwykłej edycji praw i uprawnień użytkownika.

Podatność CVE-2025-62731: SOPlanning jest podatny na Stored XSS w endpoincie /feries. Atakujący z dostępem do funkcji Public Holidays może wstrzyknąć dowolny kod HTML i JS do witryny, który zostanie wyrenderowany/wykonany podczas otwierania wielu stron. Domyślnie tylko administratorzy i użytkownicy ze specjalnymi uprawnieniami mają dostęp do tego endpointu.

Te podatności zostały usunięte w wersji 1.55.

Podziękowania

Za zgłoszenie podatności dziękujemy Łukaszowi Jaworskiemu z Pentest Limited.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.