| CVE ID | CVE-2026-33384 |
| Data publikacji | 29 maja 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | QuickCMS |
| Podatne wersje | Wszystkie do 6.8 włącznie (do poprawki z 15.05.2026) |
| Typ podatności (CWE) | Session Fixation (CWE-384) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-33386 |
| Data publikacji | 29 maja 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | QuickCMS |
| Podatne wersje | Wszystkie do 6.8 włącznie (do poprawki z 15.05.2026) |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu QuickCMS i koordynował proces ujawniania informacji.
Podatność CVE-2026-33384: QuickCMS umożliwia ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem. Wartość ta nie jest zmieniana po uwierzytelnieniu. To zachowanie umożliwia atakującemu ustawienie na stałe identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.
Podatność CVE-2026-33386: QuickCMS jest podatny na atak typu Cross-Site Scripting (XSS) poprzez niewłaściwie zabezpieczony mechanizm pobierania wtyczek oparty na HTTP. Możliwe jest przeprowadzenie ataku typu Man-in-the-Middle (MITM), podszywając się pod serwer opensolution.org i dostarczając dowolny kod HTML lub JavaScript do endpointu listy wtyczek. Gdy użytkownik odwiedzi stronę z wtyczkami, złośliwa zawartość jest automatycznie pobierana, wyświetlana i wykonywana.
Te problemy zostały rozwiązane w poprawce do wersji 6.8 opublikowanej 15.05.2026, wdrożenia bez tej poprawki nadal są podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Jakubowi Lipińskiemu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.