CVE-2026-40547
MediumCVSS 6.4Exploitation Probability (EPSS)
Low risk35th percentile - higher than 35% of all known CVEs
Summary
SOPlanning jest podatny na atak typu Path Traversal w punktach końcowych kopii zapasowych. Uwierzytelniony zdalny atakujący może wykorzystać podatny punkt końcowy do skonstruowania ładunków, które umożliwiają odczyt i wykonanie plików dodanych wcześniej za pomocą funkcji kopii zapasowej.
Risk Assessment
Krytyczne jest to, że z powodu CVE-2026-40543 (brak autoryzacji) każdy plik kopii zapasowej może być odczytany przez dowolnego (nieautoryzowanego) użytkownika, co stwarza poważne ryzyko dla bezpieczeństwa danych.
Recommendation
Zaleca się aktualizację SOPlanning do wersji powyżej 1.55 oraz wdrożenie odpowiednich mechanizmów autoryzacji dla punktów końcowych kopii zapasowych.
Original NVD description (English source)
SOPlanning is vulnerable to Path Traversal in backup endpoints. Authenticated remote attacker is able to exploit a vulnerable endpoint and construct payloads that allow reading and executing files previously added through the backup functionality. Critically, due to CVE-2026-40543 (Missing Authorization), any backup file can be read by any (unauthorized) user. This issue affects SOPlanning version 1.55 and below.

