| CVE ID | CVE-2025-68420 |
| Data publikacji | 14 maja 2026 |
| Producent podatnego oprogramowania | Comarch |
| Nazwa podatnego oprogramowania | ERP Optima |
| Podatne wersje | Wszystkie poniżej 2026.4 |
| Typ podatności (CWE) | Incorrect Privilege Assignment (CWE-266) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-68421 |
| Data publikacji | 14 maja 2026 |
| Producent podatnego oprogramowania | Comarch |
| Nazwa podatnego oprogramowania | ERP Optima |
| Podatne wersje | Wszystkie poniżej 2026.4 |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Comarch ERP Optima i koordynował proces ujawniania informacji.
Podatność CVE-2025-68420: Klient Comarch ERP Optima łączy się z bazą danych używając konta o wysokich uprawnieniach, niezależnie od konta aplikacji, na które loguje się użytkownik. Lokalny atakujący, który kontroluje proces klienta, może wykonać zrzut pamięci, wyekstrahować hasła i użyć ich do uzyskania uprawnionego dostępu do bazy danych. Aby wykorzystać tę podatność, aplikacja kliencka musi być już skonfigurowana, ale użytkownik nie musi być zalogowany.
Podatność CVE-2025-68421: Klient Comarch ERP Optima wykorzystuje zaszyte w kodzie hasło użytkownika bazy danych. To hasło nie może zostać zmienione. Używając go zdalny atakujący może uzyskać dostęp do bazy danych z podniesionymi uprawnieniami, w tym wykonywać komendy systemowe na serwerze.
Oba problemy zostały naprawione w wersji 2026.4.
Podziękowania
Za zgłoszenie podatności dziękujemy Wojciechowi Giełdzie.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.