Opis podatności

KlinikaXP to oprogramowanie dla lecznic weterynaryjnych do zarządzania wizytami, dokumentacją i finansami. KlinikaXP Insertino to osobna aplikacja instalowana na tabletach lub laptopach, która łączy się z głównym systemem i umożliwia klientom wprowadzanie danych.

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu KlinikaXP i KlinikaXP Insertino i koordynował proces ujawniania informacji.

Podatność CVE-2026-1958: Użycie zakodowanych na stałe poświadczeń w Klinika XP i KlinikaXP Insertino umożliwiało nieautoryzowanemu atakującemu dostęp do kilku usług wewnętrznych. Krytycznie, obejmowało to dostęp do serwera FTP, na którym hostowane były pakiety aktualizacyjne aplikacji. Atakujący z tymi poświadczeniami mógł przesłać złośliwy plik aktualizacyjny, który następnie mógł zostać rozprowadzony i zainstalowany na maszynach klientów jako zaufana aktualizacja.

Podatność ta dotyczy KlinikaXP przed wersją 5.39.01.01 oraz KlinikaXP Insertino przed 3.1.0.1

Oprócz usunięcia na stałe zakodowanych poświadczeń z kodu, zmieniono również dane dostępowe do wcześniej narażonych usług, co uniemożliwiło dalsze próby ataku z wykorzystaniem tej podatności.

Podziękowania

Za zgłoszenie podatności dziękujemy Wojciechowi Giełdzie.