Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu AL-KO Robolinho Update Software i koordynował proces ujawniania informacji.
Podatność CVE-2026-1612: AL-KO Robolinho Update Software zawiera zakodowane na stałe klucze dostępu AWS (Access i Secret), które umożliwiają każdemu dostęp do bucketu AWS należącego do AL-KO. Użycie tych kluczy bezpośrednio może potencjalnie zapewnić atakującemu większe uprawnienia niż sama aplikacja. Klucze te zapewniają CO NAJMNIEJ dostęp odczytu do części obiektów w bucketcie.
Dostawca został poinformowany o tej podatności, jednak nie udzielił odpowiedzi. Jedynie wersja 8.0.21.0610 została przetestowana i potwierdzona jako podatna - inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Piotrowi Ptaszkowi.
