| CVE ID | CVE-2025-11598 |
| Data publikacji | 03 lutego 2026 |
| Producent podatnego oprogramowania | Centralny Ośrodek Informatyki |
| Nazwa podatnego oprogramowania | mObywatel |
| Podatne wersje | Wszystkie poniżej 4.71.0 (iOS) |
| Typ podatności (CWE) | Exposure of Private Personal Information to an Unauthorized Actor (CWE-359) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w aplikacji mObywatel i koordynował proces ujawniania informacji.
Podatność CVE-2025-11598: W aplikacji mObywatel na iOS nieuprawniony użytkownik może, korzystając z funkcji App Switcher, podejrzeć dane osobowe właściciela konta wyświetlane w zminimalizowanym oknie aplikacji po zakończeniu sesji logowania (ponowne otwarcie aplikacji wymagałoby ponownego uwierzytelnienia). Zakres ujawnianych informacji zależy od ostatniego widoku aplikacji wyświetlanego przed zminimalizowaniem aplikacji.
Problem został naprawiony w wersji 4.71.0
Podziękowania
Za zgłoszenie podatności dziękujemy Maciejowi Krakowiakowi z firmy DSecure.me.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.