CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34906

CriticalCVSS 9.3
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Elevated risk
0.38%

60th percentile — higher than 60% of all known CVEs

Summary

W Wirtualnej Uczelni występuje podatność typu Server-Side Template Injection (SSTI), która pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu (RCE). W punkcie końcowym redirectToUrl oraz parametrze redirectUrlParameter niewystarczająca walidacja wejścia umożliwia wstrzykiwanie dowolnych wyrażeń szablonów, które są wykonywane na serwerze.

Risk Assessment

Sukcesywne wykorzystanie tej podatności może pozwolić atakującemu na uruchomienie zdalnych poleceń, w tym na ustanowienie odwrotnego powłoki, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację Wirtualnej Uczelni do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów walidacji wejścia w celu zminimalizowania ryzyka w przyszłości.

Original NVD description (English source)

Server-Side Template Injection (SSTI) in Wirtualna Uczelnia allows an unauthenticated attacker to perform Remote Code Execution (RCE). In the endpoint redirectToUrl and parameter redirectUrlParameter, insufficient input validation permits injection of arbitrary template expressions that are executed on the server. Successful exploitation can allow an attacker to run remote commands, including establishing a reverse shell. This issue affects Wirtualna Uczelnia versions up to wu#2016.437.295#0#20260327_105545

Vulnerability data from NVD (NIST) · CISA KEV · EPSS