Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu ABC PRO EAP Legislator i koordynował proces ujawniania informacji.
Podatność CVE-2026-1186: EAP Legislator jest podatny na atak typu Path Traversal w funkcjonalności rozpakowywania plików. Atakujący może przygotować archiwum zipx (domyślny typ pliku używany przez aplikację Legislator) i wskazać dowolną ścieżkę poza katalogiem docelowym (np. folder autostart systemu), do której pliki zostaną rozpakowane przez ofiarę po otwarciu pliku.
Problem został naprawiony w wersji 2.25a.
Podziękowania
Za zgłoszenie podatności dziękujemy Marcinowi Resselowi.
