Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu STER
22 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-25606
Data publikacji 22 maja 2026
Producent podatnego oprogramowania Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy
Nazwa podatnego oprogramowania STER
Podatne wersje Wszystkie poniżej 9.5
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-25607
Data publikacji 22 maja 2026
Producent podatnego oprogramowania Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy
Nazwa podatnego oprogramowania STER
Podatne wersje Wszystkie poniżej 9.5
Typ podatności (CWE) Weak Encoding for Password (CWE-261)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-25608
Data publikacji 22 maja 2026
Producent podatnego oprogramowania Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy
Nazwa podatnego oprogramowania STER
Podatne wersje Wszystkie poniżej 9.5
Typ podatności (CWE) Cleartext Transmission of Sensitive Information (CWE-319)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu STER i koordynował proces ujawniania informacji.

Podatność CVE-2026-25606: W STER niewłaściwa neutralizacja danych wejściowych dostarczonych przez użytkownika w wielu filtrach wyszukiwania umożliwia przeprowadzenie ataków SQL Injection. Umożliwia to uwierzytelnionemu atakującemu dostęp do wrażliwych danych, takich jak informacje należące do innych użytkowników lub inne dane, do których dostęp posiada sama aplikacja.

Podatność CVE-2026-25607: Zastosowanie słabego algorytmu kodowania haseł w STER umożliwia odgadnięcie wartości hasła po analizie sposobu kodowania haseł o znanych wartościach.

Podatność CVE-2026-25608: STER wykorzystuje nieszyfrowany ruch TCP do przesyłania danych w sieci. Umożliwia to przeprowadzenie ataku typu Man-in-the-Middle oraz uzyskanie dostępu do wrażliwych danych, takich jak hasła, dane osobowe czy tokeny uwierzytelniające.

Te problemy zostały naprawione w wersji 9.5

Podziękowania

Za zgłoszenie podatności dziękujemy Michelin CERT.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.