Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu Szafir
02 kwietnia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-26927
Data publikacji 02 kwietnia 2026
Producent podatnego oprogramowania Krajowa Izba Rozliczeniowa
Nazwa podatnego oprogramowania Szafir SDK Web
Podatne wersje Wszystkie poniżej 0.0.17.4
Typ podatności (CWE) Use of Less Trusted Source (CWE-348)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-26928
Data publikacji 02 kwietnia 2026
Producent podatnego oprogramowania Krajowa Izba Rozliczeniowa
Nazwa podatnego oprogramowania SzafirHost
Podatne wersje Wszystkie poniżej 1.1.0
Typ podatności (CWE) Improper Validation of Integrity Check Value (CWE-354)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Szafir i koordynował proces ujawniania informacji.

Podatność CVE-2026-26927: Szafir SDK Web to wtyczka przeglądarkowa, która uruchamia aplikację SzafirHost. Podczas startu aplikacja pobiera niezbędne do działania pliki. W Szafir SDK Web można zmienić adres URL (HTTP Origin) lokalizacji wywołania aplikacji. Nieuwierzytelniony atakujący może stworzyć stronę internetową, która jest w stanie uruchomić aplikację SzafirHost z dowolnymi argumentami za pośrednictwem wtyczki przeglądarki Szafir SDK Web. Nie jest przeprowadzana żadna walidacja, aby sprawdzić, czy adres określony w parametrze document_base_url ma związek z rzeczywistym adresem wywołującej aplikację domeny. Adres URL określony w parametrze document_base_url jest następnie zawarty w oknie potwierdzenia wyświetlanym przez aplikację. Gdy ofiara potwierdzi uruchomienie aplikacji, zostanie ona wywołana w kontekście adresu URL strony internetowej atakującego i może pobrać dodatkowe pliki i biblioteki z tej strony. Jeśli ofiara wcześniej zaakceptowała uruchomienie aplikacji dla adresu URL wyświetlanego w oknie potwierdzenia z opcją "pamiętaj", okno potwierdzenia nie będzie wyświetlane, a aplikacja zostanie wywołana w kontekście adresu URL podanego przez atakującego bez żadnej interakcji ze strony ofiary.

Problem został naprawiony w wersji 0.0.17.4.

Podatność CVE-2026-26928: SzafirHost pobiera niezbędne pliki w kontekście wywołującej strony internetowej. Podczas wywoływania, SzafirHost aktualizuje swoją bibliotekę dynamiczną. Pliki JAR są poprawnie weryfikowane na podstawie listy zaufanych skrótów plików, a jeśli plik nie jest na tej liście, zostaje sprawdzone, czy plik został cyfrowo podpisany przez producenta. Aplikacja nie weryfikuje skrótu ani cyfrowego podpisu producenta dla przesyłanych plików DLL, SO, JNILIB lub DYLIB. Atakujący może dostarczyć złośliwy plik, który zostanie zapisany w katalogu /temp użytkownika i wykonany przez aplikację.

Problem został naprawiony w wersji 1.1.0.

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Leszczyńskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.