| CVE ID | CVE-2026-35095 |
| Data publikacji | 30 czerwca 2026 |
| Producent podatnego oprogramowania | KTM System |
| Nazwa podatnego oprogramowania | e-BOK |
| Podatne wersje | Wszystkie poniżej 06.2026 |
| Typ podatności (CWE) | Session Fixation (CWE-384) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-35096 |
| Data publikacji | 30 czerwca 2026 |
| Producent podatnego oprogramowania | KTM System |
| Nazwa podatnego oprogramowania | e-BOK |
| Podatne wersje | Wszystkie poniżej 06.2026 |
| Typ podatności (CWE) | Cross-Site Request Forgery (CSRF) (CWE-352) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-35097 |
| Data publikacji | 30 czerwca 2026 |
| Producent podatnego oprogramowania | KTM System |
| Nazwa podatnego oprogramowania | e-BOK |
| Podatne wersje | Wszystkie poniżej 06.2026 |
| Typ podatności (CWE) | Weak Password Requirements (CWE-521) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-35098 |
| Data publikacji | 30 czerwca 2026 |
| Producent podatnego oprogramowania | KTM System |
| Nazwa podatnego oprogramowania | e-BOK |
| Podatne wersje | Wszystkie poniżej 06.2026 |
| Typ podatności (CWE) | Improper Restriction of Excessive Authentication Attempts (CWE-307) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu KTM System e-BOK i koordynował proces ujawniania informacji.
Podatność CVE-2026-35095: KTM System e-BOK pozwala na ustawienie identyfikatora sesji przez klienta przed uwierzytelnieniem. Jeśli ustawione zostanie ciasteczko o prawidłowej nazwie, jego wartość pozostaje niezmieniona po pomyślnym zalogowaniu. Takie zachowanie systemu umożliwia atakującemu ustawienie na stałe identyfikatora sesji dla ofiary, a następnie przejęcie uwierzytelnionej sesji użytkownika.
Podatność CVE-2026-35096: W KTM System e-BOK zidentyfikowano podatność typu Cross-Site Request Forgery (CSRF) w funkcjonalnościach zmiany adresu e-mail oraz zmiany hasła. Atakujący może stworzyć złośliwą stronę internetową, która po odwiedzeniu przez uwierzytelnionego użytkownika automatycznie wysyła sfałszowane żądanie POST do aplikacji. Umożliwia to atakującemu wywołanie nieautoryzowanej zmiany adresu e-mail lub hasła w imieniu ofiary bez jej wiedzy lub interakcji.
Podatność CVE-2026-35097: KTM System e-BOK wymusza maksymalną długość hasła wynoszącą sześć cyfr i nie pozwala na użycie żadnych innych znaków.
Podatność CVE-2026-35098: KTM System e-BOK nie ogranicza liczby prób logowania, ani nie limituje ich czasowo, co umożliwia atakującemu wykonywanie nieograniczonej liczby żądań uwierzytelnienia. Brak limitowania częstotliwości żądań umożliwia skuteczne ataki typu brute-force na konta użytkowników. W połączeniu z podatnością CVE-2026-35097, w której hasła są ograniczone do sześciocyfrowego formatu numerycznego, stanowi to krytyczny problem, ponieważ takie hasła mogą zostać złamane w wyniku ataku typu brute-force w stosunkowo krótkim czasie.
Problemy te dotyczą wszystkich wersji KTM System e-BOK przed aktualizacją z czerwca 2026.
Podziękowania
Za zgłoszenie podatności dziękujemy Jackowi Korcie.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.