Polska drużyna reagowania na incydenty cybernetyczne skoordynowała proces naprawy poważnej luki bezpieczeństwa w oprogramowaniu ThemisNETPanel producenta 4real. Podatność katalogowana jako CVE-2026-6847 pozwala atakującemu na wykonanie dowolnego kodu na serwerze.
Problem polega na braku weryfikacji użytkownika w funkcji przesyłania plików. Endpoint aplikacji akceptuje pliki PHP kodowane w base64 bez sprawdzenia tożsamości osoby wysyłającej, co daje atakującemu dostęp do serwera. Luka została wyeliminowana w aktualizacji wydanej w kwietniu 2026.
Podatność zgłosili Kamil Szczurowski i Robert Krucek. CERT Polska przypomina o znaczeniu odpowiedzialnego ujawniania luk bezpieczeństwa za pośrednictwem dedykowanego procesu opisanego na stronie cert.pl/cvd/.
Co to oznacza dla Ciebie
Jeśli korzystasz z ThemisNETPanel — zaktualizuj oprogramowanie do wersji z kwietnia 2026 lub nowszej
Jeśli administrujesz serwerem — sprawdź logi dostępu do funkcji przesyłania plików z poprzednich miesięcy
Skontaktuj się z dostawcą, jeśli masz wątpliwości czy Twoja instalacja była narażona
Źródło: CERT Polska
Komentarze (0)
Brak komentarzy. Dodaj pierwszy komentarz.