CVE-2026-9221
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych używa algorytmu MD5 do generowania sygnatury żądań uwierzytelniających komunikację między klientem mobilnym a backendowym API REST. Atakujący mogą potencjalnie odwrócić sygnaturę, aby odzyskać identyfikator sesji.
Ocena ryzyka
Ujawnienie identyfikatora sesji umożliwia atakującemu podszycie się pod legalnego użytkownika i wykonywanie uwierzytelnionych żądań API, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji aplikacji.
Rekomendacja
Należy natychmiast zaktualizować aplikację Setracker2 do wersji, która używa bezpieczniejszego algorytmu podpisu (np. HMAC-SHA256) oraz wymusić rotację sesji po uwierzytelnieniu.
Oryginalny opis (angielski, źródło NVD)
The Setracker2 Android Companion App (com.tgelec.setracker) versions 3.1.5 and earlier uses MD5 to generate a request signature for authenticating communications between the mobile client and the backend REST API. Attackers could potentially reverse the signature to recover the session ID. With the session ID exposed, an attacker could impersonate the legitimate user and issue authenticated API requests.

