Katalog CVE

CVE-2026-9221

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych używa algorytmu MD5 do generowania sygnatury żądań uwierzytelniających komunikację między klientem mobilnym a backendowym API REST. Atakujący mogą potencjalnie odwrócić sygnaturę, aby odzyskać identyfikator sesji.

Ocena ryzyka

Ujawnienie identyfikatora sesji umożliwia atakującemu podszycie się pod legalnego użytkownika i wykonywanie uwierzytelnionych żądań API, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji aplikacji.

Rekomendacja

Należy natychmiast zaktualizować aplikację Setracker2 do wersji, która używa bezpieczniejszego algorytmu podpisu (np. HMAC-SHA256) oraz wymusić rotację sesji po uwierzytelnieniu.

Oryginalny opis (angielski, źródło NVD)

The Setracker2 Android Companion App (com.tgelec.setracker) versions 3.1.5 and earlier uses MD5 to generate a request signature for authenticating communications between the mobile client and the backend REST API. Attackers could potentially reverse the signature to recover the session ID. With the session ID exposed, an attacker could impersonate the legitimate user and issue authenticated API requests.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS