Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu Wirtualna Uczelnia
02 czerwca 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-34906
Data publikacji 02 czerwca 2026
Producent podatnego oprogramowania Simple SA
Nazwa podatnego oprogramowania Wirtualna Uczelnia
Podatne wersje Wszystkie do wu#2016.437.295#0#20260327_105545 włącznie
Typ podatności (CWE) Improper Neutralization of Special Elements Used in a Template Engine (CWE-1336)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-34907
Data publikacji 02 czerwca 2026
Producent podatnego oprogramowania Simple SA
Nazwa podatnego oprogramowania Wirtualna Uczelnia
Podatne wersje Wszystkie do wu#2016.437.295#0#20260327_105545 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Wirtualna Uczelnia i koordynował proces ujawniania informacji.

Podatność CVE-2026-34906: W oprogramowaniu Wirtualna Uczelnia zidentyfikowano podatność typu Server-Side Template Injection (SSTI), która umożliwia zdalne wykonanie kodu (RCE) przez nieuwierzytelnionego atakującego. W endpoincie redirectToUrl i parametrze redirectUrlParameter, niewystarczająca walidacja danych wejściowych pozwala na wstrzyknięcie dowolnych wyrażeń, które są wykonywane na serwerze. Wykorzystanie tej podatności może umożliwić atakującemu uruchamianie zdalnych poleceń, w tym ustanowienie połączenia zwrotnego (reverse shell).

Podatność CVE-2026-34907: Oprogramowanie Wirtualna Uczelnia jest podatne na atak typu Reflected Cross-Site Scripting (XSS) z powodu niewłaściwej obsługi parametru locale w wielu endpointach. Atakujący może przygotować złośliwy URL z osadzonym kodem JavaScript i wysłać go ofierze. Gdy ofiara otworzy link, osadzony skrypt zostanie wykonany w jej przeglądarce.

Problemy te dotyczą programu Wirtualna Uczelnia w wersjach wu#2016.437.295#0#20260327_105545 i niższych.

Podziękowania

Za zgłoszenie podatności dziękujemy Dawidowi Bakajowi - VIPentest.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.