| CVE ID | CVE-2026-6909 |
| Data publikacji | 11 maja 2026 |
| Producent podatnego oprogramowania | ATutor |
| Nazwa podatnego oprogramowania | ATutor |
| Podatne wersje | 2.2.4 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-6956 |
| Data publikacji | 11 maja 2026 |
| Producent podatnego oprogramowania | ATutor |
| Nazwa podatnego oprogramowania | ATutor |
| Podatne wersje | 2.2.4 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu ATutor i koordynował proces ujawniania informacji.
Podatność CVE-2026-6909: ATutor jest podatny na Reflected XSS w endpoincie /install/upgrade.php. Atakujący może przygotować złośliwy URL, którego otwarcie prowadzi do wykonania dowolnego kodu JavaScript w przeglądarce ofiary.
Podatność CVE-2026-6956: ATutor jest podatny na Reflected XSS w endpoincie /install/install.php. Atakujący może przygotować złośliwy URL, którego otwarcie prowadzi do wykonania dowolnego kodu JavaScript w przeglądarce ofiary.
Produkt nie jest już aktywnie wspierany. Deweloperzy tego projektu zostali poinformowani o tej podatności, jednak nie udzielili informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 2.2.4 — inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi, Marcinowi Wyczechowskiemu oraz Pawlowi Zdunkowi z AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.