Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Verint Verba
14 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-21730
Data publikacji 14 maja 2026
Producent podatnego oprogramowania Verint
Nazwa podatnego oprogramowania Verba
Podatne wersje Wszystkie poniżej 10.0.6
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Verint Verba i koordynował proces ujawniania informacji.

Podatność CVE-2026-21730: Verba jest podatna na ataki typu Stored XSS w mechanizmie logowania prób logowania. Gdy zdalny, nieuwierzytelniony atakujący spróbuje się zalogować, używając niepoprawnej kombinacji nazwy użytkownika i hasła, nazwa użytkownika zostaje zapisana w logach aplikacji. Z powodu braku sanityzacji danych wejściowych atakujący może wstrzyknąć złośliwy payload w polu nazwy użytkownika. Payload zostanie wykonany w kontekście przeglądarki administratora w momencie, gdy administrator otworzy widok logów aplikacji.

Problem został naprawiony w wersji 10.0.6.

Podziękowania

Za zgłoszenie podatności dziękujemy Janowi Czerlunczakiewiczowi (STM Cyber).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.