CVE-2026-8993
MediumCVSS 6.5Summary
Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.
Risk Assessment
Ryzyko dla organizacji polega na możliwości przeprowadzenia ataków SSRF oraz uzyskania dostępu do zasobów wewnętrznych poprzez wykorzystanie podatności, co może prowadzić do ujawnienia danych lub kompromitacji systemów.
Recommendation
Zaleca się przegląd i ograniczenie rejestracji niestandardowych handlerów URL w aplikacji oraz edukację użytkowników na temat ryzyk związanych z otwieraniem podejrzanych linków.
Original NVD description (English source)
D.Launcher 2 component of Slovak eID client ecosystem contains Improper URL Handler Processing vulnerability. Application registers multiple custom URL handlers that could be exploited to initiate full NTLM autentication or SMB connection to attacker infrastructure and to conduct SSRF (Server Side Request Forgery) attacks. User interaction is required as potential victim needs to open a specially crafted URL.

