| CVE ID | CVE-2025-8306 |
| Data publikacji | 08 stycznia 2026 |
| Producent podatnego oprogramowania | Asseco |
| Nazwa podatnego oprogramowania | InfoMedica Plus |
| Podatne wersje | Od 4.0.0 do 4.50.1 oraz od 5.0.0 do 5.38.0 |
| Typ podatności (CWE) | Insufficient Granularity of Access Control (CWE-1220) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-8307 |
| Data publikacji | 08 stycznia 2026 |
| Producent podatnego oprogramowania | Asseco |
| Nazwa podatnego oprogramowania | InfoMedica Plus |
| Podatne wersje | Od 4.0.0 do 4.50.1 oraz od 5.0.0 do 5.38.0 |
| Typ podatności (CWE) | Storing Passwords in a Recoverable Format (CWE-257) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Asseco InfoMedica Plus i koordynował proces ujawniania informacji.
Asseco InfoMedica to kompleksowe rozwiązanie służące do zarządzania zarówno zadaniami administracyjnymi, jak i medycznymi w sektorze ochrony zdrowia.
Podatność CVE-2025-8306: Z powodu braku odpowiedniej granulacji kontroli dostępu użytkownik o niskich uprawnieniach może uzyskać zakodowane hasła należące do innych użytkowników (w tym głównego administratora).
Podatność CVE-2025-8307: Hasła wszystkich użytkowników są przechowywane w bazie danych w formacie zakodowanym. Atakujący posiadający te hasła jest w stanie je odkodować, korzystając z algorytmu wbudowanego w część kliencką oprogramowania.
Wykorzystanie obu podatności umożliwia atakującemu eskalację uprawnień.
Obie podatności zostały naprawione w wersjach 4.50.1 oraz 5.38.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Maciejowi Kazulakowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.