Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu SOPlanning
01 czerwca 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-40543
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Missing Authorization (CWE-862)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40544
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40545
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40546
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40547
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40548
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Unrestricted Upload of File with Dangerous Type (CWE-434)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40549
Data publikacji 01 czerwca 2026
Producent podatnego oprogramowania SOPlanning
Nazwa podatnego oprogramowania SOPlanning
Podatne wersje Wszystkie do 1.55 włącznie
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu SOPlanning i koordynował proces ujawniania informacji.

Podatność CVE-2026-40543: SOPlanning nie wymusza autoryzacji dla funkcji tworzenia kopii zapasowych. Nieuwierzytelniony atakujący może bezpośrednio odpytać endpointy związane z kopiami zapasowymi i uzyskać dostęp do archiwów kopii zapasowych zawierających bazy danych użytkowników z nazwami użytkowników i hashami haseł, oraz plik config.csv, który zawiera dodatkowe poufne informacje.

Podatność CVE-2026-40544: SOPlanning jest podatne na atak typu Stored Cross-Site Scripting (XSS) w endpointcie /process/upload_backup. Uwierzytelniony atakujący z dostępem do funkcjonalności tworzenia kopii zapasowych może przesłać spreparowane archiwum ZIP zawierające plik user.csv z osadzonym kodem JavaScript. Gdy użytkownik kliknie przycisk Edytuj dla złośliwej kopii zapasowej, wstrzyknięty kod zostanie wykonywany w jego przeglądarce.

Podatność CVE-2026-40545: SOPlanning jest podatne na atak typu Reflected XSS poprzez parametr taches. Atakujący może przygotować złośliwy URL, który, gdy zostanie otwarty przez uwierzytelnioną ofiarę, prowadzi do wykonania dowolnego kodu JavaScript w przeglądarce ofiary.

Podatność CVE-2026-40546: SOPlanning jest podatne na ataki typu SQL Injection w wielu endpointach i parametrach. Atakujący z niskimi uprawnieniami może wstrzykiwać dowolne polecenia SQL, co może prowadzić do pełnej kontroli nad bazą danych.

Podatność CVE-2026-40547: SOPlanning jest podatne na atak typu Path Traversal w endpointach kopii zapasowych. Zdalny, uwierzytelniony atakujący, może wykorzystać podatny endpoint i skonstruować zapytania, które umożliwiają odczytywanie i wykonywanie plików wcześniej dodanych za pomocą funkcjonalności kopii zapasowych. Co istotne, przy wykorzystaniu CVE-2026-40543 (Brak Autoryzacji), każdy plik kopii zapasowej może być odczytany przez dowolnego (nieautoryzowanego) użytkownika.

Podatność CVE-2026-40548: SOPlanning nie weryfikuje rozszerzeń plików, które przesyłane są jako kopie zapasowe. Uwierzytelniony atakujący z dostępem do funkcji tworzenia kopii zapasowej może przesłać spreparowane archiwum ZIP zawierające plik user.csv oraz złośliwy plik. Całe archiwum zostanie rozpakowane na serwerze. W połączeniu z CVE-2026-40547 (Path Traversal) złośliwy plik (np. skrypt PHP) może zostać umieszczony w lokalizacji dostępnej z sieci i wykonany poprzez przeglądarkę.

Podatność CVE-2026-40549: SOPlanning jest podatne na atak typu Cross-Site Request Forgery (CSRF) w endpointach groupe_save. Atakujący może stworzyć złośliwą stronę internetową, która, gdy zostanie odwiedzona przez uwierzytelnionego użytkownika, automatycznie wyśle sfałszowane żądanie GET lub POST do aplikacji.

Problemy te dotyczą SOPlanning w wersjach 1.55 i niższych.

Podziękowania

Za zgłoszenie podatności dziękujemy Łukaszowi Jaworskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.