Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Bludit i koordynował proces ujawniania informacji.

Podatność CVE-2026-25099: Wtyczka API w Bludit umożliwia uwierzytelnionemu atakującemu z ważnym tokenem API przesyłanie plików dowolnego typu i z dowolnym rozszerzeniem bez jakichkolwiek ograniczeń. Przesłane pliki mogą następnie zostać wykonane, co prowadzi do zdalnego wykonania kodu.

Problem został naprawiony w wersji 3.18.4.

Podatność CVE-2026-25100: Bludit jest podatny na ataki typu Stored XSS w funkcjonalności przesyłania obrazów. Uwierzytelniony atakujący z uprawnieniami do przesyłania treści (takimi jak Autor, Edytor lub Administrator) może przesłać plik SVG zawierający złośliwy kod JS, który zostaje wykonany, gdy ofiara odwiedzi adres URL przesłanego pliku. Plik ten jest dostępny bez konieczności uwierzytelniania.

Producent został poinformowany o tej podatności, jednak przerwał współpracę w trakcie procesu koordynacji. Wszystkie wersje do 3.18.2 włącznie są uznane za podatne, przyszłe wersje mogą również być podatne.

Podatność CVE-2026-25101: Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem. Wartość tego identyfikatora pozostaje taka sama po zalogowaniu. Takie zachowanie umożliwia atakującemu ustalenie identyfikatora sesji dla ofiary, a następnie przejęcie jej uwierzytelnionej sesji.

Problem został naprawiony w wersji 3.17.2.

Podziękowania

Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.