| CVE ID | CVE-2026-11860 |
| Data publikacji | 15 czerwca 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | Quick.CMS |
| Podatne wersje | Wszystkie do 6.8 włącznie (do poprawki z 14.05.2026) |
| Typ podatności (CWE) | Deserialization of Untrusted Data (CWE-502) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OpenSolution Quick.CMS i koordynował proces ujawniania informacji.
Podatność CVE-2026-11860: Quick.CMS deserializuje dane kontrolowane przez użytkownika otrzymane w jawnym tekście przez HTTP bez zapewnienia integralności ani autentyczności. Umożliwia to atakującym modyfikowanie zserializowanych pakietów w trakcie przesyłania i wstrzykiwanie złośliwych obiektów. Ponieważ deserializacja jest wykonywana bez odpowiedniej walidacji ani ograniczeń klas, spreparowane pakiety mogą wywoływać niebezpieczne metody magiczne (np., __wakeup() i __destruct()) i wykorzystywać łańcuchy gadżetów, co prowadzi do możliwości wykonania dowolnego kodu. Eksploitacja jest wyzwalana automatycznie, gdy administrator uzyskuje dostęp do panelu administracyjnego.
Podatność ta umożliwia atakującemu wykonanie dowolnego kodu na serwerze poprzez zmanipulowane dane zserializowane przesyłane przez nieszyfrowany kanał.
Ten problem został zmitygowany poprzez ograniczenie komunikacji do HTTPS w poprawce do wersji 6.8 opublikowanej 14.05.2026. Wdrożenia bez tej poprawki nadal są podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.