| CVE ID | CVE-2026-23796 |
| Data publikacji | 05 lutego 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | Quick.Cart |
| Podatne wersje | 6.7 |
| Typ podatności (CWE) | Session Fixation (CWE-384) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-23797 |
| Data publikacji | 05 lutego 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | Quick.Cart |
| Podatne wersje | 6.7 |
| Typ podatności (CWE) | Plaintext Storage of a Password (CWE-256) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Quick.Cart i koordynował proces ujawniania informacji.
Podatność CVE-2026-23796: Quick.Cart umożliwia ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem. Wartość tego identyfikatora pozostaje taka sama po uwierzytelnieniu. Takie zachowanie pozwala atakującemu ustawić identyfikator sesji dla ofiary, a następnie przejąć uwierzytelnioną sesję.
Podatność CVE-2026-23797: W Quick.Cart hasła użytkowników są przechowywane w postaci jawnej. Atakujący z uprawnieniami administratora może wyświetlić hasła użytkowników na stronie edycji użytkownika.
Producent został wcześniej poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji 6.7 - inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Beniaminowi Jabłońskiemu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.