| CVE ID | CVE-2026-1186 |
| Data publikacji | 02 lutego 2026 |
| Producent podatnego oprogramowania | ABC PRO |
| Nazwa podatnego oprogramowania | EAP Legislator |
| Podatne wersje | Wszystkie do 2.25 włącznie |
| Typ podatności (CWE) | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu ABC PRO EAP Legislator i koordynował proces ujawniania informacji.
Podatność CVE-2026-1186: EAP Legislator jest podatny na atak typu Path Traversal w funkcjonalności rozpakowywania plików. Atakujący może przygotować archiwum zipx (domyślny typ pliku używany przez aplikację Legislator) i wskazać dowolną ścieżkę poza katalogiem docelowym (np. folder autostart systemu), do której pliki zostaną rozpakowane przez ofiarę po otwarciu pliku.
Problem został naprawiony w wersji 2.25a.
Podziękowania
Za zgłoszenie podatności dziękujemy Marcinowi Resselowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.