Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu UBB.threads
18 czerwca 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-54219
Data publikacji 18 czerwca 2026
Producent podatnego oprogramowania UBB Systems
Nazwa podatnego oprogramowania UBB.threads
Podatne wersje Wszystkie do 7.7.5 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-54220
Data publikacji 18 czerwca 2026
Producent podatnego oprogramowania UBB Systems
Nazwa podatnego oprogramowania UBB.threads
Podatne wersje Wszystkie do 7.7.5 włącznie
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-54221
Data publikacji 18 czerwca 2026
Producent podatnego oprogramowania UBB Systems
Nazwa podatnego oprogramowania UBB.threads
Podatne wersje Wszystkie do 7.7.5 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-54222
Data publikacji 18 czerwca 2026
Producent podatnego oprogramowania UBB Systems
Nazwa podatnego oprogramowania UBB.threads
Podatne wersje Wszystkie do 7.7.5 włącznie
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-54223
Data publikacji 18 czerwca 2026
Producent podatnego oprogramowania UBB Systems
Nazwa podatnego oprogramowania UBB.threads
Podatne wersje Wszystkie do 7.7.5 włącznie
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-54224
Data publikacji 18 czerwca 2026
Producent podatnego oprogramowania UBB Systems
Nazwa podatnego oprogramowania UBB.threads
Podatne wersje Wszystkie do 7.7.5 włącznie
Typ podatności (CWE) Asymmetric Resource Consumption (Amplification) (CWE-405)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie dotyczące podatności w oprogramowaniu UBB.threads firmy UBB Systems oraz uczestniczył w koordynacji procesu ich ujawnienia.

Podatność CVE-2026-54219: UBB.threads jest podatny na atak typu Stored XSS poprzez posty oraz pola profili użytkowników. Aplikacja nie sanitizuje poprawnie danych wejściowych, co umożliwia atakującym o niskich uprawnieniach wstrzyknięcie dowolnego kodu JavaScript, który zostanie wykonany w przeglądarce ofiary podczas wyświetlania zawartości.

Podatność CVE-2026-54220: UBB.threads jest podatny na atak typu Cross-Site Request Forgery (CSRF) z powodu braku odpowiednich mechanizmów ochronnych. Umożliwia to atakującemu nakłonienie uwierzytelnionego użytkownika do wykonania niezamierzonych działań.

Podatność CVE-2026-54221: UBB.threads jest podatny na atak typu Reflected XSS. Aplikacja nieprawidłowo przetwarza dane wejściowe użytkownika w niektórych żądaniach, co umożliwia atakującym wykonanie dowolnego kodu JavaScript w kontekście przeglądarki ofiary poprzez nakłonienie jej do kliknięcia odpowiednio przygotowanego odnośnika.

Podatność CVE-2026-54222: UBB.threads jest podatny na atak typu Blind SQL Injection, umożliwiający atakującym posiadającym dostęp do sekcji Members w Panelu Kontrolnym interakcję z bazą danych. Z powodu niewystarczającej sanitizacji danych wejściowych atakujący może manipulować zapytaniami SQL przy użyciu technik opartych na czasie lub wartościach logicznych. Dzięki temu może pozyskać wrażliwe informacje, takie jak dane uwierzytelniające użytkowników.

Podatność CVE-2026-54223: UBB.threads jest podatny na atak typu Path Traversal, umożliwiający atakującym posiadającym uprawnienia do edycji szablonów odczyt i zapis dowolnych plików na serwerze aplikacji, do których aplikacja ma dostęp. Może to prowadzić do zdalnego wykonania kodu.

Podatność CVE-2026-54224: UBB.threads jest podatny na atak typu Denial of Service (DoS). Wysyłając wiele równoległych żądań wyświetlenia dowolnego profilu użytkownika w instancjach posiadających dużą liczbę zarejestrowanych użytkowników, uwierzytelniony atakujący może łatwo wyczerpać zasoby bazy danych i całkowicie uniemożliwić innym użytkownikom dostęp do aplikacji.

Ze względu na brak skutecznego kontaktu z producentem podatności zostały potwierdzone jedynie w wersji 7.7.5, jednak mogą również występować w innych wersjach.

Podziękowania

Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu oraz Michałowi Wnękowiczowi z Securitum.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.