Katalog CVE

CVE-2026-35095

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w systemie KTM e-BOK pozwala atakującemu na ustawienie identyfikatora sesji przed uwierzytelnieniem. Jeśli atakujący ustawi ciasteczko z poprawną nazwą, jego wartość pozostaje niezmieniona po zalogowaniu ofiary, co umożliwia przejęcie sesji.

Ocena ryzyka

Atakujący może przejąć sesję uwierzytelnionego użytkownika, uzyskując nieautoryzowany dostęp do jego konta i danych w systemie e-BOK.

Rekomendacja

Należy natychmiast zastosować poprawkę opublikowaną w czerwcu 2026 roku, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

KTM System e-BOK allows the session identifier to be set by the client prior to authentication. If a cookie with a valid name is set, its value remains unchanged after successful login. This behaviour enables an attacker to fix a session ID for a victim and later hijack the authenticated session. This issue was fixed in the patch published in June 2026.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS