Katalog CVE

CVE-2026-34906

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.38%

Percentyl 60 — wyżej niż 60% wszystkich znanych CVE

Streszczenie

W Wirtualnej Uczelni występuje podatność typu Server-Side Template Injection (SSTI), która pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu (RCE). W punkcie końcowym redirectToUrl oraz parametrze redirectUrlParameter niewystarczająca walidacja wejścia umożliwia wstrzykiwanie dowolnych wyrażeń szablonów, które są wykonywane na serwerze.

Ocena ryzyka

Sukcesywne wykorzystanie tej podatności może pozwolić atakującemu na uruchomienie zdalnych poleceń, w tym na ustanowienie odwrotnego powłoki, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację Wirtualnej Uczelni do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów walidacji wejścia w celu zminimalizowania ryzyka w przyszłości.

Oryginalny opis (angielski, źródło NVD)

Server-Side Template Injection (SSTI) in Wirtualna Uczelnia allows an unauthenticated attacker to perform Remote Code Execution (RCE). In the endpoint redirectToUrl and parameter redirectUrlParameter, insufficient input validation permits injection of arbitrary template expressions that are executed on the server. Successful exploitation can allow an attacker to run remote commands, including establishing a reverse shell. This issue affects Wirtualna Uczelnia versions up to wu#2016.437.295#0#20260327_105545

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS