Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu mpGabinet
28 kwietnia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-40550
Data publikacji 28 kwietnia 2026
Producent podatnego oprogramowania BinSoft
Nazwa podatnego oprogramowania mpGabinet
Podatne wersje Wszystkie do 23.12.19 włącznie
Typ podatności (CWE) Execution with Unnecessary Privileges (CWE-250)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40551
Data publikacji 28 kwietnia 2026
Producent podatnego oprogramowania BinSoft
Nazwa podatnego oprogramowania mpGabinet
Podatne wersje Wszystkie do 23.12.19 włącznie
Typ podatności (CWE) Use of Client-Side Authentication (CWE-603)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40552
Data publikacji 28 kwietnia 2026
Producent podatnego oprogramowania BinSoft
Nazwa podatnego oprogramowania mpGabinet
Podatne wersje Wszystkie do 23.12.19 włącznie
Typ podatności (CWE) Incorrect Resource Transfer Between Spheres (CWE-669)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu BinSoft mpGabinet i koordynował proces ujawniania informacji.

Podatność CVE-2026-40550: Oprogramowanie mpGabinet jest podatne na eskalację uprawnień wynikającą z nadmiernego poziomu uprawnień użytkownia bazy danych używanego przez aplikację. Atakujący z dostępem do dowolnej uruchomionej instancji aplikacji połączonej z serwerem backend może wyodrębnić poświadczenia bazy danych z pamięci aplikacji, poprzez inspekcję działającego procesu. Choć możliwość pobierania poświadczeń z pamięci jest oczekiwana, uzyskane w ten sposób poświadczenia zapewniają dostęp administracyjny do bazy danych. To z kolei umożliwia atakującemu wykonywanie działań poza tymi dozwolonymi przez interfejs aplikacji.

Podatność CVE-2026-40551: Oprogramowanie mpGabinet stosuje mechanizm weryfikacji logowania po stronie klienta. Atakujący posiadający dostęp do dowolnej instancji aplikacji połączonej z serwerem backendowym może obejść proces uwierzytelniania poprzez binarną manipulację plikami aplikacji, a następnie uwierzytelnić się jako dowolny użytkownik.

Podatność CVE-2026-40552: Oprogramowanie mpGabinet jest podatne na zdalne wykonanie kodu. Zautoryzowany użytkownik z dostępem do aplikacji i bezpośrednim dostępem do bazy danych może osiągnąć wykonanie polecenia systemowego, przesyłając załącznik i modyfikując jego ścieżkę przechowywania w bazie danych, aby odnosiła się do zdalnego zasobu sieciowego będącego pod kontrolą atakującego. Alternatywnie można użyć wcześniej przesłanego pliku i zmienić jego odniesienie. Gdy aplikacja przetworzy załącznik, a użytkownik spróbuje go otworzyć, odwoływany zasób jest wykonywany przez system. Co istotne, ta podatność może być wykorzystana przez dowolnego nieuwierzytelnionego atakującego poprzez połączenie jej z CVE-2026-40550 i CVE-2026-40551, co umożliwia uzyskanie dostępu do bazy danych i zalogowanie się na dowolne konto.

Te problemy dotyczą mpGabinet w wersjach 23.12.19 i niższych.

Podziękowania

Za zgłoszenie podatności dziękujemy Robertowi Kruczkowi oraz Kamilowi Szczurowskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.