Podatność typu iframe injection w aplikacji MyNET firmy Airc (wersja 26.06 i wcześniejsze) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu. Wysoki wynik CVSS 9.6 oraz wpływ na poufność, integralność i dostępność czynią ją podatnością krytyczną.
▸ Pokaż oryginał (EN)
Iframe injection vulnerability in airc.pt/solucoes-servicos.solucoes MyNET v.26.06 and before allows a remote attacker to execute arbitrary code via the src parameter.
Atakujący może wstrzyknąć złośliwy element iframe poprzez niezabezpieczony parametr 'src' w aplikacji MyNET. Podatność należy do kategorii CWE-74 (Improper Neutralization of Special Elements) oraz CWE-75 (Failure to Sanitize Special Elements), co oznacza, że aplikacja nie filtruje odpowiednio danych wejściowych przekazywanych w tym parametrze. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia, natomiast wymaga interakcji użytkownika (np. kliknięcia w spreparowany link), a zasięg ataku wykracza poza oryginalną aplikację (Scope: Changed).
Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu w kontekście przeglądarki ofiary, co może prowadzić do pełnego przejęcia sesji, wycieku poufnych danych lub dalszego ataku na infrastrukturę organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację aplikacji MyNET do wersji nowszej niż 26.06 oraz weryfikację poprawności filtrowania parametru 'src' po wdrożeniu aktualizacji.
Airc MyNET w wersji 26.06 oraz wszystkie wcześniejsze wersje.
Szczegóły techniczne dotyczące podatności zostały opublikowane w repozytorium GitHub (https://github.com/esquim0/Common_Vulnerabilities_and_Exposures_CVE/blob/main/2024/MyNet.md). CVE zostało opublikowane 2025-12-22 i nie figuruje na liście CISA KEV.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HAirc Mynet
APPAirc≤ 26.06
Powiązane podatności
MyNET up to v26.08 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the fich...
MyNET up to v26.08.316 was discovered to contain an Unauthenticated SQL Injection vulnerability via the intmen...
A reflected cross-site scripting (XSS) vulnerability in MyNET up to v26.08 allows attackers to execute arbitra...
MyNET up to v26.05 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the src ...
MyNET up to v26.05 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the msg ...