Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Wirtualna Uczelnia i koordynował proces ujawniania informacji.
Podatność CVE-2025-12140: Oprogramowanie nieprawidłowo przetwarza wartość parametru 'redirectUrlParameter' w endpoincie 'redirectToUrl'. Oprogramowanie interpretuje wprowadzony ciąg znaków jako wyrażenie Java, co umożliwia nieautoryzowanemu atakującemu wykonanie dowolnego kodu. Podatność została usunięta w wersji wu#2016.1.5513#0#20251014_113353.
Podziękowania
Za zgłoszenie podatności dziękujemy Marcinowi Resselowi.
