| CVE ID | CVE-2025-13776 |
| Data publikacji | 24 lutego 2026 |
| Producent podatnego oprogramowania | TIK-SOFT |
| Nazwa podatnego oprogramowania | Finka-FK, Finka-KPR, Finka-Płace, Finka-Faktura, Finka-Magazyn, Finka-STW |
| Podatne wersje | Finka-FK (<18.5) Finka-KPR (<16.6) Finka-Płace (<13.4) Finka-Faktura (<18.3) Finka-Magazyn (<8.3) Finka-STW (<12.3) |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Finka-FK, Finka-KPR, Finka-Płace, Finka-Faktura, Finka-Magazyn oraz Finka-STW i koordynował proces ujawniania informacji.
Podatność CVE-2025-13776: Wiele programów Finka korzysta z zakodowanych danych uwierzytelniających do bazy danych Firebird (wspólnych dla wszystkich instalacji tego oprogramowania). Atakujący znajdujący się w sieci lokalnej, znający domyślne dane logowania, może odczytywać i modyfikować zawartość bazy danych.
Podatność została usunięta w wersjach:
Finka-FK 18.5
Finka-KPR 16.6
Finka-Płace 13.4
Finka-Faktura 18.3
Finka-Magazyn 8.3
Finka-STW 12.3
Podziękowania
Za zgłoszenie podatności dziękujemy Wojciechowi "Wern128" Żebrowskiemu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.