| CVE ID | CVE-2026-42096 |
| Data publikacji | 19 maja 2026 |
| Producent podatnego oprogramowania | Sparx Systems |
| Nazwa podatnego oprogramowania | Pro Cloud Server |
| Podatne wersje | Wszystkie do 6.1 włącznie |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-42097 |
| Data publikacji | 19 maja 2026 |
| Producent podatnego oprogramowania | Sparx Systems |
| Nazwa podatnego oprogramowania | Pro Cloud Server |
| Podatne wersje | Wszystkie do 6.1 włącznie |
| Typ podatności (CWE) | Authorization Bypass Through User-Controlled Key (CWE-639) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-42098 |
| Data publikacji | 19 maja 2026 |
| Producent podatnego oprogramowania | Sparx Systems |
| Nazwa podatnego oprogramowania | Enterprise Architect |
| Podatne wersje | Wszystkie do 17.1 włącznie |
| Typ podatności (CWE) | Use of Client-Side Authentication (CWE-603) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-42099 |
| Data publikacji | 19 maja 2026 |
| Producent podatnego oprogramowania | Sparx Systems |
| Nazwa podatnego oprogramowania | Pro Cloud Server |
| Podatne wersje | Wszystkie do 6.1 włącznie |
| Typ podatności (CWE) | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') (CWE-362) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-42100 |
| Data publikacji | 19 maja 2026 |
| Producent podatnego oprogramowania | Sparx Systems |
| Nazwa podatnego oprogramowania | Pro Cloud Server |
| Podatne wersje | Wszystkie do 6.1 włącznie |
| Typ podatności (CWE) | Improper Handling of Syntactically Invalid Structure (CWE-228) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Sparx Systems i koordynował proces ujawniania informacji.
Podatność CVE-2026-42096: Sparx Pro Cloud Server jest podatny na atak typu Broken Access Control w komunikacji z bazą danych. Z powodu braku weryfikacji uprawnień, każdy uwierzytelniony użytkownik może wykonywać dowolne zapytania SQL w kontekście użytkownika bazy danych.
Podatność CVE-2026-42097: Sparx Pro Cloud Server wymaga uwierzytelnienia na podstawie żądanego adresu URL. Atakujący może pominąć parametr model zapytania i przesłać nazwę modelu wyłącznie w binarnym ładunku żądania POST, co umożliwia wykonanie zapytań SQL bez uwierzytelnienia.
Podatność CVE-2026-42098: Sparx Enterprise Architect zawiera mechanizm bezpieczeństwa ograniczający działania użytkownika do tych przewidzianych dla przypisanej roli. Uwierzytelniony atakujący może jednak zmodyfikować zachowanie klienta oprogramowania (np. przy użyciu debuggera) i zalogować się jako dowolny inny użytkownik lub administrator, co umożliwia wprowadzanie dowolnych zmian w repozytorium.
Podatność CVE-2026-42099: W oprogramowaniu Sparx Pro Cloud Server występuje Race Condition w endpoincie /data_api/dl_internal_artifact.php. Aplikacja pobiera właściwości obiektu wskazanego przez parametr guid i zapisuje pobraną zawartość w bieżącej lokalizacji (DIR) pod określoną nazwą. Atakujący posiadający dostęp do repozytorium może kontrolować zarówno nazwę pliku, jak i jego zawartość, co umożliwia utworzenie złośliwego pliku PHP w bieżącym katalogu. Mimo, że plik jest usuwany po przetworzeniu, występuje Race Condition — w przypadku opóźnienia transmisji odpowiedzi (np. z powodu dużego pliku lub wolnego połączenia klienta) plik pozostaje dostępny. W tym oknie czasowym atakujący może wysłać drugie żądanie w celu wykonania złośliwego pliku PHP, co prowadzi do zdalnego wykonania kodu.
Podatność CVE-2026-42100: Nieprawidłowa obsługa niepoprawnych składniowo zapytań w Sparx Pro Cloud Server umożliwia przeprowadzenie ataku typu DoS poprzez wysłanie specjalnie spreparowanego zapytania SQL. Powoduje to nieoczekiwane zakończenie działania usługi Pro Cloud Server.
Producent został powiadomiony z wyprzedzeniem o występowaniu podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersjach 6.1 (build 167) i poniżej oprogramowania Pro Cloud Server oraz w wersjach 17.1 i poniżej oprogramowania Enterprise Architect — inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Blażejowi Adamczykowi (br0x) z Efigo.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.