| CVE ID | CVE-2026-9058 |
| Data publikacji | 25 maja 2026 |
| Producent podatnego oprogramowania | Krajowa Izba Rozliczeniowa |
| Nazwa podatnego oprogramowania | Szafir SDK |
| Podatne wersje | Wszystkie poniżej 463 |
| Typ podatności (CWE) |
Return of Wrong Status Code (CWE-393) Unnecessary Complexity in Protection Mechanism (Not Using 'Economy of Mechanism') (CWE-637) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Szafir SDK i koordynował proces ujawniania informacji.
Podatność CVE-2026-9058: Szafir SDK zwraca kod statusu wskazujący pozytywną weryfikację podpisu cyfrowego (/VerifyingTaskItem/Signature/VerificationResult/Result/@code == 0, „Positively verified”) nawet w sytuacji, gdy status zaufania certyfikatu podpisującego nie mógł zostać ustalony (/VerifyingTaskItem/Signature/VerificationResult/SigningCertificate/@certificateType == "nondetermined"). Powoduje to, że aplikacje wykorzystujące Szafir SDK błędnie traktują podpis jako prawidłowy, pomimo niezweryfikowanego łańcucha certyfikatów, co umożliwia obejście mechanizmów uwierzytelniania oraz podszywanie się pod użytkownika.
Problem został naprawiony w wersji 463.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Leszczyńskiemu (icedev.pl).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.