CRITICAL🇬🇧 English

CVE-2026-2347

Pominięcie autoryzacji w E-Commerce Website — przejęcie sesji

CVSS 9.8v3.1pub. 2026-05-14

Podatność klasy Authorization Bypass Through User-Controlled Key w oprogramowaniu E-Commerce Website firmy Akilli Commerce Software Technologies Ltd. Co. umożliwia atakującemu przejęcie sesji uwierzytelnionych użytkowników bez znajomości ich danych logowania. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Authorization bypass through User-Controlled key vulnerability in Akilli Commerce Software Technologies Ltd. Co. E-Commerce Website allows Session Hijacking. This issue affects E-Commerce Website: before 4.5.001.

🤖 Analiza AI
Jak działa

Błąd (CWE-639) polega na tym, że aplikacja używa kluczy lub identyfikatorów kontrolowanych przez użytkownika (np. parametrów w URL lub ciasteczkach) do identyfikacji sesji lub zasobów, nie weryfikując należycie, czy żądający faktycznie jest uprawniony do danego zasobu. Atakujący może manipulować tymi wartościami, by podszyć się pod innego użytkownika i przejąć jego sesję (Session Hijacking). Atak nie wymaga uwierzytelnienia, interakcji ofiary ani szczególnych warunków sieciowych — możliwy jest zdalnie przez sieć publiczną.

Skutki

Atakujący może w pełni przejąć sesję dowolnego użytkownika, w tym konta administratora, uzyskując nieautoryzowany dostęp do danych osobowych, historii zamówień, danych płatniczych oraz funkcji zarządzania sklepem. W zależności od uprawnień przejętego konta możliwa jest manipulacja danymi lub całkowite przejęcie kontroli nad platformą e-commerce.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie E-Commerce Website do wersji 4.5.001 lub nowszej. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0222

Kogo dotyczy

Oprogramowanie E-Commerce Website firmy Akilli Commerce Software Technologies Ltd. Co. we wszystkich wersjach przed 4.5.001.

Uwagi

Podatność została zgłoszona przez tureckie centrum cyberbezpieczeństwa (TR-CERT) pod identyfikatorem TR-26-0222. Producent oprogramowania to firma turecka — Akilli Commerce Software Technologies Ltd. Co.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje