CVE-2026-40549
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
SOPlanning jest podatny na atak Cross-Site Request Forgery (CSRF) w punktach końcowych tworzenia, modyfikacji i usuwania grup. Atakujący może stworzyć złośliwą stronę internetową, która, gdy zostanie odwiedzona przez uwierzytelnionego użytkownika, automatycznie wysyła fałszywe żądanie GET lub POST do aplikacji.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanych zmian w danych aplikacji przez atakującego, co stwarza poważne zagrożenie dla integralności systemu. Użytkownicy, którzy odwiedzają złośliwe strony, mogą nieświadomie ujawniać swoje uprawnienia.
Rekomendacja
Zaleca się aktualizację SOPlanning do wersji 1.56 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed CSRF, takie jak tokeny CSRF w formularzach.
Oryginalny opis (angielski, źródło NVD)
SOPlanning is vulnerable to Cross‑Site Request Forgery (CSRF) in groupe_save create, modify and delete endpoints. An attacker can craft a malicious website that, when visited by an authenticated user, automatically sends a forged GET or POST request to the application. This issue affects SOPlanning version 1.55 and below.

