CVE-2026-8993
ŚrednieCVSS 6.5Streszczenie
Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości przeprowadzenia ataków SSRF oraz uzyskania dostępu do zasobów wewnętrznych poprzez wykorzystanie podatności, co może prowadzić do ujawnienia danych lub kompromitacji systemów.
Rekomendacja
Zaleca się przegląd i ograniczenie rejestracji niestandardowych handlerów URL w aplikacji oraz edukację użytkowników na temat ryzyk związanych z otwieraniem podejrzanych linków.
Oryginalny opis (angielski, źródło NVD)
D.Launcher 2 component of Slovak eID client ecosystem contains Improper URL Handler Processing vulnerability. Application registers multiple custom URL handlers that could be exploited to initiate full NTLM autentication or SMB connection to attacker infrastructure and to conduct SSRF (Server Side Request Forgery) attacks. User interaction is required as potential victim needs to open a specially crafted URL.

