CVE-2026-40549
MediumCVSS 5.1Exploitation Probability (EPSS)
Low risk8th percentile - higher than 8% of all known CVEs
Summary
SOPlanning jest podatny na atak Cross-Site Request Forgery (CSRF) w punktach końcowych tworzenia, modyfikacji i usuwania grup. Atakujący może stworzyć złośliwą stronę internetową, która, gdy zostanie odwiedzona przez uwierzytelnionego użytkownika, automatycznie wysyła fałszywe żądanie GET lub POST do aplikacji.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanych zmian w danych aplikacji przez atakującego, co stwarza poważne zagrożenie dla integralności systemu. Użytkownicy, którzy odwiedzają złośliwe strony, mogą nieświadomie ujawniać swoje uprawnienia.
Recommendation
Zaleca się aktualizację SOPlanning do wersji 1.56 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed CSRF, takie jak tokeny CSRF w formularzach.
Original NVD description (English source)
SOPlanning is vulnerable to Cross‑Site Request Forgery (CSRF) in groupe_save create, modify and delete endpoints. An attacker can craft a malicious website that, when visited by an authenticated user, automatically sends a forged GET or POST request to the application. This issue affects SOPlanning version 1.55 and below.

