Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu AdaptiveGRC
24 kwietnia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-4313
Data publikacji 24 kwietnia 2026
Producent podatnego oprogramowania C&F
Nazwa podatnego oprogramowania AdaptiveGRC
Podatne wersje Wydane przed grudniem 2025
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu AdaptiveGRC i koordynował proces ujawniania informacji.

Podatność CVE-2026-4313: AdaptiveGRC jest podatny na atak typu Stored Cross-Site Scripting za pośrednictwem pól tekstowych występujących w formularzach. Uwierzytelniony atakujący może zmodyfikować wartość pola tekstowego w żądaniu HTTP POST. Nieprawidłowa walidacja parametrów po stronie serwera skutkuje możliwością wykonania dowolnego kodu JavaScript w przeglądarce ofiary. Co istotne, luka ta może umożliwić atakującemu przechwycenie tokenu uwierzytelniającego administratora oraz wykonywanie dowolnych działań z uprawnieniami administracyjnymi, co może prowadzić do dalszej kompromitacji systemu.

Problem występuje w wersjach wydanych przed grudniem 2025.

Podziękowania

Za zgłoszenie podatności dziękujemy Antoniemu Kwietniewskiemu (mBank).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.