| CVE ID | CVE-2026-46458 |
| Data publikacji | 15 lipca 2026 |
| Producent podatnego oprogramowania | ICU Scandinavia |
| Nazwa podatnego oprogramowania | Boomerang |
| Podatne wersje | Wszystkie poniżej 2.4.18.029 |
| Typ podatności (CWE) | Insufficiently Protected Credentials (CWE-522) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-46459 |
| Data publikacji | 15 lipca 2026 |
| Producent podatnego oprogramowania | ICU Scandinavia |
| Nazwa podatnego oprogramowania | Boomerang |
| Podatne wersje | Wszystkie poniżej 2.4.18.029 |
| Typ podatności (CWE) | Missing Authorization (CWE-862) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu ICU Scandinavia Boomerang i koordynował proces ujawniania informacji.
Podatność CVE-2026-46458: W oprogramowaniu ICU Scandinavia Boomerang wrażliwe pliki z danymi uwierzytelniającymi są udostępniane jako statyczne zasoby HTTP. Umożliwia to nieuwierzytelnionemu zdalnemu atakującemu pozyskanie danych uwierzytelniających kont usługowych oraz serwera SMTP, zapisanych w postaci jawnego tekstu, poprzez pobranie określonych plików XML z głównego katalogu serwera www.
Podatność CVE-2026-46459: ICU Scandinavia Boomerang nie posiada mechanizmu uwierzytelniania w endpointach odbioru danych z urządzeń. Umożliwia to nieuwierzytelnionemu zdalnemu atakującemu odczyt pełnej konfiguracji obiektu oraz zapisywanie nieautoryzowanych danych w bazie danych czujników.
Problemy zostały naprawione w wersji 2.4.18.029.
Podziękowania
Za zgłoszenie podatności dziękujemy Markowi Figielskiemu (vanilla.pl).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.