Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu KTM System e-BOK i koordynował proces ujawniania informacji.

Podatność CVE-2026-35095: KTM System e-BOK pozwala na ustawienie identyfikatora sesji przez klienta przed uwierzytelnieniem. Jeśli ustawione zostanie ciasteczko o prawidłowej nazwie, jego wartość pozostaje niezmieniona po pomyślnym zalogowaniu. Takie zachowanie systemu umożliwia atakującemu ustawienie na stałe identyfikatora sesji dla ofiary, a następnie przejęcie uwierzytelnionej sesji użytkownika.

Podatność CVE-2026-35096: W KTM System e-BOK zidentyfikowano podatność typu Cross-Site Request Forgery (CSRF) w funkcjonalnościach zmiany adresu e-mail oraz zmiany hasła. Atakujący może stworzyć złośliwą stronę internetową, która po odwiedzeniu przez uwierzytelnionego użytkownika automatycznie wysyła sfałszowane żądanie POST do aplikacji. Umożliwia to atakującemu wywołanie nieautoryzowanej zmiany adresu e-mail lub hasła w imieniu ofiary bez jej wiedzy lub interakcji.

Podatność CVE-2026-35097: KTM System e-BOK wymusza maksymalną długość hasła wynoszącą sześć cyfr i nie pozwala na użycie żadnych innych znaków.

Podatność CVE-2026-35098: KTM System e-BOK nie ogranicza liczby prób logowania, ani nie limituje ich czasowo, co umożliwia atakującemu wykonywanie nieograniczonej liczby żądań uwierzytelnienia. Brak limitowania częstotliwości żądań umożliwia skuteczne ataki typu brute-force na konta użytkowników. W połączeniu z podatnością CVE-2026-35097, w której hasła są ograniczone do sześciocyfrowego formatu numerycznego, stanowi to krytyczny problem, ponieważ takie hasła mogą zostać złamane w wyniku ataku typu brute-force w stosunkowo krótkim czasie.

Problemy te dotyczą wszystkich wersji KTM System e-BOK przed aktualizacją z czerwca 2026.

Podziękowania

Za zgłoszenie podatności dziękujemy Jackowi Korcie.