| CVE ID | CVE-2026-6847 |
| Data publikacji | 13 lipca 2026 |
| Producent podatnego oprogramowania | 4real |
| Nazwa podatnego oprogramowania | ThemisNETPanel |
| Podatne wersje | Wszystkie poniżej 04.2026 |
| Typ podatności (CWE) | Missing Authentication for Critical Function (CWE-306) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu 4real ThemisNETPanel i koordynował proces ujawniania informacji.
Podatność CVE-2026-6847: W oprogramowaniu ThemisNETPanel możliwe jest zdalne wykonanie kodu z powodu braku uwierzytelnienia w krytycznej funkcji przesyłania plików. Aplikacja udostępnia endpoint, który pozwala nieuwierzytelnionemu atakującemu na przesłanie dowolnych plików PHP zakodowanych w base64, co umożliwia wykonywania dowolnego kodu na serwerze. Ten problem został naprawiony w aktualizacji wydanej w kwietniu 2026.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu i Robertowi Kruczkowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.