| CVE ID | CVE-2026-13165 |
| Data publikacji | 29 czerwca 2026 |
| Producent podatnego oprogramowania | Krajowa Izba Rozliczeniowa |
| Nazwa podatnego oprogramowania | SzafirHost |
| Podatne wersje | Wszystkie poniżej 1.2.2 |
| Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SzafirHost i koordynował proces ujawniania informacji.
Podatność CVE-2026-13165: SzafirHost weryfikuje pobrane archiwum natywnych bibliotek przy użyciu parsera JarFile (odczytującego Central Directory), natomiast ekstrakcja bibliotek natywnych odbywa się za pomocą parsera JarInputStream (odczytującego wpisy sekwencyjnie z lokalnych nagłówków plików). Atakujący kontrolujący dostarczane archiwum może wstawić złośliwą bibliotekę DLL/SO/DYLIB jako wpis w lokalnym pliku nagłówka pomiędzy ostatnim prawidłowym wpisem, a Central Directory, bez dodawania jej do Central Directory. Mechanizm weryfikacji podpisu nigdy nie widzi wstrzykniętego wpisu i uznaje archiwum za poprawnie podpisane. Jednocześnie moduł ekstrakcji odczytuje archiwum sekwencyjnie i zapisuje bibliotekę dostarczoną przez atakującego w tymczasowym katalogu natywnych bibliotek, bez weryfikacji skrótu (hasha), mimo że kontrola rozmiaru archiwum przechodzi pomyślnie. Może to prowadzić do zdalnego wykonania kodu.
Problem został naprawiony w wersji 1.2.2.
Podziękowania
Za zgłoszenie podatności dziękujemy Mariuszowi Maikowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.