Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Szafir i koordynował proces ujawniania informacji.
Podatność CVE-2026-26927: Szafir SDK Web to wtyczka przeglądarkowa, która uruchamia aplikację SzafirHost. Podczas startu aplikacja pobiera niezbędne do działania pliki. W Szafir SDK Web można zmienić adres URL (HTTP Origin) lokalizacji wywołania aplikacji. Nieuwierzytelniony atakujący może stworzyć stronę internetową, która jest w stanie uruchomić aplikację SzafirHost z dowolnymi argumentami za pośrednictwem wtyczki przeglądarki Szafir SDK Web. Nie jest przeprowadzana żadna walidacja, aby sprawdzić, czy adres określony w parametrze document_base_url ma związek z rzeczywistym adresem wywołującej aplikację domeny. Adres URL określony w parametrze document_base_url jest następnie zawarty w oknie potwierdzenia wyświetlanym przez aplikację. Gdy ofiara potwierdzi uruchomienie aplikacji, zostanie ona wywołana w kontekście adresu URL strony internetowej atakującego i może pobrać dodatkowe pliki i biblioteki z tej strony. jeżeli ofiara wcześniej zaakceptowała uruchomienie aplikacji dla adresu URL wyświetlanego w oknie potwierdzenia z opcją "pamiętaj", okno potwierdzenia nie będzie wyświetlane, a aplikacja zostanie wywołana w kontekście adresu URL podanego przez atakującego bez żadnej interakcji ze strony ofiary.
Problem został naprawiony w wersji 0.0.17.4.
Podatność CVE-2026-26928: SzafirHost pobiera niezbędne pliki w kontekście wywołującej strony internetowej. Podczas wywoływania, SzafirHost aktualizuje swoją bibliotekę dynamiczną. Pliki JAR są poprawnie weryfikowane na podstawie listy zaufanych skrótów plików, a jeżeli plik nie jest na tej liście, zostaje sprawdzone, czy plik został cyfrowo podpisany przez producenta. Aplikacja nie weryfikuje skrótu ani cyfrowego podpisu producenta dla przesyłanych plików DLL, SO, JNILIB lub DYLIB. Atakujący może dostarczyć złośliwy plik, który zostanie zapisany w katalogu /temp użytkownika i wykonany przez aplikację.
Problem został naprawiony w wersji 1.1.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Leszczyńskiemu.
