CRITICAL✓ PATCH🇬🇧 English

CVE-2026-33875

Gematik Authenticator – przejęcie przepływu uwierzytelniania przez złośliwy deep link

CVSS 9.3v3.1pub. 2026-03-27upd. 2026-04-03

Gematik Authenticator w wersjach wcześniejszych niż 4.16.0 jest podatny na authentication flow hijacking, który umożliwia atakującemu uwierzytelnienie się tożsamością ofiary. Podatność jest krytyczna, ponieważ dotyczy aplikacji służącej do bezpiecznego logowania do cyfrowych aplikacji zdrowotnych.

Pokaż oryginał (EN)

Gematik Authenticator securely authenticates users for login to digital health applications. Versions prior to 4.16.0 are vulnerable to authentication flow hijacking, potentially allowing attackers to authenticate with the identities of victim users who click on a malicious deep link. Update Gematik Authenticator to version 4.16.0 or greater to receive a patch. There are no known workarounds.

🤖 Analiza AI
Jak działa

Atakujący przygotowuje złośliwy deep link i nakłania ofiarę do jego kliknięcia. Po kliknięciu dochodzi do przejęcia przepływu uwierzytelniania (authentication flow hijacking), co pozwala atakującemu uwierzytelnić się w systemie z użyciem tożsamości użytkownika-ofiary. Podatność wynika z nieprawidłowej weryfikacji pochodzenia żądania uwierzytelniającego (CWE-940 – Improper Verification of Source of a Communication Channel).

Skutki

Atakujący może przejąć tożsamość ofiary i uzyskać nieuprawniony dostęp do cyfrowych aplikacji zdrowotnych, do których loguje się użytkownik, co może prowadzić do naruszenia poufności oraz integralności chronionych danych zdrowotnych.

Mitygacja

Należy zaktualizować Gematik Authenticator do wersji 4.16.0 lub nowszej. Producent nie wskazuje żadnych znanych obejść (workarounds) dla tej podatności.

Kogo dotyczy

Gematik Authenticator we wszystkich wersjach wcześniejszych niż 4.16.0

Uwagi

Podatność wymaga interakcji użytkownika (kliknięcia złośliwego deep linka), jednak nie wymaga żadnych uprawnień po stronie atakującego. Brak znanych obejść potwierdzony przez producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Gematik Authenticator

    APP
    Gematik
    < 4.16.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-33874HIGH7.8ten sam produkt

Gematik Authenticator securely authenticates users for login to digital health applications. Starting in versi...

CVE-2024-46984HIGH8.6ten sam vendor

The reference validator is a tool to perform advanced validation of FHIR resources for TI applications and int...