Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu Hydrosystem Control System
09 kwietnia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-4901
Data publikacji 09 kwietnia 2026
Producent podatnego oprogramowania Hydrosystem
Nazwa podatnego oprogramowania Control System
Podatne wersje Wszystkie poniżej 9.8.5
Typ podatności (CWE) Insertion of Sensitive Information into Log File (CWE-532)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-34184
Data publikacji 09 kwietnia 2026
Producent podatnego oprogramowania Hydrosystem
Nazwa podatnego oprogramowania Control System
Podatne wersje Wszystkie poniżej 9.8.5
Typ podatności (CWE) Missing Authorization (CWE-862)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-34185
Data publikacji 09 kwietnia 2026
Producent podatnego oprogramowania Hydrosystem
Nazwa podatnego oprogramowania Control System
Podatne wersje Wszystkie poniżej 9.8.5
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Hydrosystem Control System i koordynował proces ujawniania informacji.

Podatność CVE-2026-4901: Hydrosystem Control System zapisuje wrażliwe informacje w pliku z logami. Co istotne, dane uwierzytelniające użytkownika także są zapisywane w logu, co umożliwia atakującemu uzyskanie dalszego autoryzowanego dostępu do systemu. W połączeniu z podatnością CVE-2026-34184, te wrażliwe informacje mogą być uzyskiwane przez nieautoryzowanego użytkownika.

Podatność CVE-2026-34184: Hydrosystem Control System nie wymusza autoryzacji dla niektórych katalogów. To umożliwia nieautoryzowanemu atakującemu odczytywanie wszystkich plików w tych katalogach oraz ich wykonywanie. Co istotne, atakujący może bezpośrednio uruchomić skrypty PHP wykonujące operacje na połączonej bazie danych.

Podatność CVE-2026-34185: Hydrosystem Control System jest podatny na SQL Injection w większości skryptów i parametrów wejściowych. Ponieważ nie zastosowano żadnych mechanizmów ochronnych, uwierzytelniony atakujący może wstrzyknąć dowolne polecenie SQL, co może prowadzić do uzyskania pełnej kontroli nad bazą danych.

Te problemy zostały naprawione w wersji 9.8.5

Podziękowania

Za zgłoszenie podatności dziękujemy Jarosławowi "Jahrek" Kamińskiemu - Securitum.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.