CRITICAL🇬🇧 English

CVE-2024-27708

Iframe injection w Airc MyNET — zdalne wykonanie kodu przez parametr src

CVSS 9.6v3.1pub. 2025-12-22upd. 2026-01-02

Podatność typu iframe injection w aplikacji MyNET firmy Airc (wersja 26.06 i wcześniejsze) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu. Wysoki wynik CVSS 9.6 oraz wpływ na poufność, integralność i dostępność czynią ją podatnością krytyczną.

Pokaż oryginał (EN)

Iframe injection vulnerability in airc.pt/solucoes-servicos.solucoes MyNET v.26.06 and before allows a remote attacker to execute arbitrary code via the src parameter.

🤖 Analiza AI
Jak działa

Atakujący może wstrzyknąć złośliwy element iframe poprzez niezabezpieczony parametr 'src' w aplikacji MyNET. Podatność należy do kategorii CWE-74 (Improper Neutralization of Special Elements) oraz CWE-75 (Failure to Sanitize Special Elements), co oznacza, że aplikacja nie filtruje odpowiednio danych wejściowych przekazywanych w tym parametrze. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia, natomiast wymaga interakcji użytkownika (np. kliknięcia w spreparowany link), a zasięg ataku wykracza poza oryginalną aplikację (Scope: Changed).

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu w kontekście przeglądarki ofiary, co może prowadzić do pełnego przejęcia sesji, wycieku poufnych danych lub dalszego ataku na infrastrukturę organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację aplikacji MyNET do wersji nowszej niż 26.06 oraz weryfikację poprawności filtrowania parametru 'src' po wdrożeniu aktualizacji.

Kogo dotyczy

Airc MyNET w wersji 26.06 oraz wszystkie wcześniejsze wersje.

Uwagi

Szczegóły techniczne dotyczące podatności zostały opublikowane w repozytorium GitHub (https://github.com/esquim0/Common_Vulnerabilities_and_Exposures_CVE/blob/main/2024/MyNet.md). CVE zostało opublikowane 2025-12-22 i nie figuruje na liście CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Airc Mynet

    APP
    Airc
    ≤ 26.06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-35322MEDIUM6.1ten sam produkt

MyNET up to v26.08 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the fich...

CVE-2024-39037MEDIUM6.5ten sam produkt

MyNET up to v26.08.316 was discovered to contain an Unauthenticated SQL Injection vulnerability via the intmen...

CVE-2024-40317MEDIUM6.1ten sam produkt

A reflected cross-site scripting (XSS) vulnerability in MyNET up to v26.08 allows attackers to execute arbitra...

CVE-2024-25812MEDIUM6.1ten sam produkt

MyNET up to v26.05 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the src ...

CVE-2024-25814MEDIUM6.1ten sam produkt

MyNET up to v26.05 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the msg ...