Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu SzafirHost
15 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-44088
Data publikacji 15 maja 2026
Producent podatnego oprogramowania Krajowa Izba Rozliczeniowa
Nazwa podatnego oprogramowania SzafirHost
Podatne wersje Wszystkie poniżej 1.2.1
Typ podatności (CWE) Unrestricted Upload of File with Dangerous Type (CWE-434)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SzafirHost i koordynował proces ujawniania informacji.

Podatność CVE-2026-44088: SzafirHost weryfikuje podpis pobranego pliku JAR wykorzystując klasę JarInputStream (czytając od początku pliku), ale ładuje klasy wykorzystując klasę JarFile/URLClassLoader (czytając Katalog Centralny od końca). Może to prowadzić do zdalnego wykonania kodu poprzez umożliwienie atakującemu połączenie oryginalnego, podpisanego pliku JAR ze szkodliwym plikiem ZIP. To sprawi, że weryfikacja przejdzie poprawnie, a szkodliwa klasa zostanie załadowana.

Problem został naprawiony w wersji 1.2.1.

Podziękowania

Za zgłoszenie podatności dziękujemy Mariuszowi Maikowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.