CVE-2026-35095
ŚrednieCVSS 4.8Streszczenie
Podatność w systemie KTM e-BOK pozwala atakującemu na ustawienie identyfikatora sesji przed uwierzytelnieniem. Jeśli atakujący ustawi ciasteczko z poprawną nazwą, jego wartość pozostaje niezmieniona po zalogowaniu ofiary, co umożliwia przejęcie sesji.
Ocena ryzyka
Atakujący może przejąć sesję uwierzytelnionego użytkownika, uzyskując nieautoryzowany dostęp do jego konta i danych w systemie e-BOK.
Rekomendacja
Należy natychmiast zastosować poprawkę opublikowaną w czerwcu 2026 roku, która usuwa tę podatność.
Oryginalny opis (angielski, źródło NVD)
KTM System e-BOK allows the session identifier to be set by the client prior to authentication. If a cookie with a valid name is set, its value remains unchanged after successful login. This behaviour enables an attacker to fix a session ID for a victim and later hijack the authenticated session. This issue was fixed in the patch published in June 2026.

