| CVE ID | CVE-2026-53902 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Incorrect Privilege Assignment (CWE-266) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53903 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Authorization Bypass Through User-Controlled Key (CWE-639) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53904 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Improper Restriction of Excessive Authentication Attempt (CWE-307) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53905 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53906 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53907 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53908 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Observable Response Discrepancy (CWE-204) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-53909 |
| Data publikacji | 01 lipca 2026 |
| Producent podatnego oprogramowania | MyComplianceOffice |
| Nazwa podatnego oprogramowania | MCO |
| Podatne wersje | 25.3.3.1 |
| Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu MyComplianceOffice MCO i koordynował proces ujawniania informacji.
Podatność CVE-2026-53902: MCO nie wymusza prawidłowej weryfikacji uprawnień w endpoincie /customer/servlet/mco/webapi/profile-sections/group-membership. Uwierzytelniony użytkownik może zmienić swoją przynależność do grup bez odpowiedniej weryfikacji, co umożliwia podniesienie swoich uprawnień. Atakujący może dodać się do dowolnych grup, podając prawidłowy identyfikator grupy, który może zostać uzyskany za pośrednictwem innych funkcjonalności aplikacji (np. /customer/servlet/mco/webapi/group/picker/groups), jeśli posiada niezbędne uprawnienia, lub potencjalnie wywnioskowany za pomocą technik brute-force.
Podatność CVE-2026-53903: W MCO zidentyfikowano podatność typu Insecure Direct Object Reference (IDOR) w endpoincie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement. Aplikacja nie sprawdza, czy uwierzytelniony użytkownik jest uprawniony do dostępu do żądanego dokumentu. Daje to możliwość bezpośredniego pobrania dokumentów wyłącznie na podstawie identyfikatora dostarczonego przez użytkownika. Choć wykorzystanie podatności wymaga odgadnięcia identyfikatora, przewidywalne wzorce identyfikatorów umożliwiają przeprowadzenie enumeracji, co prowadzi do nieautoryzowanego ujawnienia wrażliwych informacji.
Podatność CVE-2026-53904: W MCO zidentyfikowano podatność typu Account Denial of Service z powodu nieprawidłowej implementacji funkcjonalności resetowania hasła. Każde żądanie resetowania hasła unieważnia wcześniej ustawione hasło, a także wcześniej wydane hasła tymczasowe; ponadto możliwość resetowania haseł nie jest w żaden sposób ograniczona. Atakujący, który zna adres e-mail ofiary oraz odpowie na jej pytanie zabezpieczające, może pomyślnie zainicjować proces resetowania hasła i stale unieważniać poświadczenia, skutecznie blokując ofierze dostęp do jej konta. Odpowiadanie na pytania zabezpieczające ma ograniczoną liczbę prób, co zmniejsza ryzyko wykorzystania tej podatności.
Podatność CVE-2026-53905: MCO nie wymusza prawidłowej weryfikacji uprawnień w endpoincie /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure. Uwierzytelniony użytkownik o niskich uprawnieniach może pobrać struktury kontroli dostępu administratora bez odpowiedniej weryfikacji autoryzacji. Może to ujawnić wrażliwe mapowania uprawnień i szczegóły konfiguracji wewnętrznej.
Podatność CVE-2026-53906: W MCO zidentyfikowano podatności typu Path Disclosure i Path Traversal w funkcjonalności obsługi plików związanej z eksportem i przesyłaniem danych. Niewłaściwa walidacja parametru filename umożliwia zapisywanie plików w dowolnych lokalizacjach, a także pośrednie ujawnienie bezwzględnych ścieżek serwera za pośrednictwem komunikatów o błędach.
Podatność CVE-2026-53907: W MCO zidentyfikowano podatność typu Stored Cross-Site Scripting (XSS) poprzez funkcjonalność przesyłania logo aplikacji. Atakujący mający możliwość zmiany logo aplikacji może przesłać spreparowany plik SVG zawierający złośliwy kod JavaScript, który jest wykonywany po wyrenderowaniu lub otwarciu logo.
Podatność CVE-2026-53908: MCO pozwala na enumerację użytkowników w funkcjonalnościach związanych z uwierzytelnianiem. Aplikacja zwraca różniące się odpowiedzi dla istniejących i nieistniejących użytkowników podczas operacji przypominania nazwy użytkownika i resetowania hasła. Atakujący może wykorzystać te różnice do enumeracji prawidłowych nazw użytkowników i adresów e-mail.
Podatność CVE-2026-53909: MCO nie przeprowadza poprawnej walidacji typów przesyłanych plików. Walidacja przesyłanych plików jest przeprowadzana wyłącznie po stronie klienta i jest możliwa do ominięcia. Uwierzytelniony atakujący z niskimi uprawnieniami może przesyłać na serwer pliki dowolnego typu.
Ponieważ próby kontaktu z producentem były nieudane, podatności zostały potwierdzone jedynie w wersji 25.3.3.1, jednak mogą one dotyczyć również innych wersji.
Podziękowania
Za zgłoszenie podatności dziękujemy Hubertowi Decyuszowi z zespołu AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.