CVE-2026-34906
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 60 — wyżej niż 60% wszystkich znanych CVE
Streszczenie
W Wirtualnej Uczelni występuje podatność typu Server-Side Template Injection (SSTI), która pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu (RCE). W punkcie końcowym redirectToUrl oraz parametrze redirectUrlParameter niewystarczająca walidacja wejścia umożliwia wstrzykiwanie dowolnych wyrażeń szablonów, które są wykonywane na serwerze.
Ocena ryzyka
Sukcesywne wykorzystanie tej podatności może pozwolić atakującemu na uruchomienie zdalnych poleceń, w tym na ustanowienie odwrotnego powłoki, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację Wirtualnej Uczelni do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów walidacji wejścia w celu zminimalizowania ryzyka w przyszłości.
Oryginalny opis (angielski, źródło NVD)
Server-Side Template Injection (SSTI) in Wirtualna Uczelnia allows an unauthenticated attacker to perform Remote Code Execution (RCE). In the endpoint redirectToUrl and parameter redirectUrlParameter, insufficient input validation permits injection of arbitrary template expressions that are executed on the server. Successful exploitation can allow an attacker to run remote commands, including establishing a reverse shell. This issue affects Wirtualna Uczelnia versions up to wu#2016.437.295#0#20260327_105545

