CVE-2026-26379
MediumCVSS 6.5Summary
Wersje Koha do 25.11 zawierają podatność typu Server-Side Request Forgery (SSRF) w konfiguracji serwera Z39.50/SRU. Umożliwia to uwierzytelnionym atakującym skanowanie wewnętrznej sieci oraz identyfikację działających usług poprzez analizę czasów odpowiedzi serwera.
Risk Assessment
Podatność ta może prowadzić do ujawnienia informacji o infrastrukturze sieciowej organizacji, co zwiększa ryzyko dalszych ataków. Atakujący mogą wykorzystać te informacje do przeprowadzenia bardziej zaawansowanych działań.
Recommendation
Zaleca się aktualizację do najnowszej wersji Koha, aby usunąć tę podatność. Dodatkowo, warto przeanalizować konfigurację serwera Z39.50/SRU w celu ograniczenia dostępu do wrażliwych informacji.
Original NVD description (English source)
Koha versions up to 25.11 contain a Server-Side Request Forgery (SSRF) vulnerability via the Z39.50/SRU server configuration. This allows authenticated attackers to perform internal network scanning and identify running services by analyzing server response times.

