TL;DR

W oprogramowaniu LEX Baza Dokumentów 1 producenta Wolters Kluwer Polska odkryto podatność 2 typu DOM-based XSS (Cross-site Scripting) w parametrze ciasteczka o nazwie em. 3 Aplikacja przetwarza parametr po stronie klienta, co umożliwia atakującemu wykonanie kodu JavaScript w kontekście przeglądarki ofiary. Podatne są 4 wszystkie wersje poniżej 1.3.4. Producent wydał poprawkę 5 w wersji 1.3.4. Aktualizacja jest dostępna — zainstaluj ją niezwłocznie.

W skrócie: Jeśli używasz LEX Baza Dokumentów — sprawdź wersję. Poniżej 1.3.4? Aktualizuj niezwłocznie.

Co to jest ta podatność?

6 Chodzi o typ luki klasyfikowanej jako CWE-79 (Improper Neutralization of Input During Web Page Generation) — nieprawidłowe czyszczenie danych wejściowych przed wyświetleniem ich w przeglądarce.

W tym przypadku podatność jest typu DOM-based XSS2 atak działa poprzez parametr ciasteczka em. Ciasteczka to małe pliki przechowywane przez przeglądarkę, które aplikacja wysyła do serwera z każdym żądaniem. Tutaj LEX Baza Dokumentów 3 przetwarza zawartość tego parametru po stronie klienta (w przeglądarce) bez odpowiedniego czyszczenia.

Co to oznacza praktycznie? Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w kontekście przeglądarki ofiary — potencjalnie kradzież sesji, przejęcie konta lub przekierowanie do phishingowej strony.

Kto jest zagrożony?

Każdy użytkownik LEX Baza Dokumentów 4 w wersji poniżej 1.3.4. LEX to popularne narzędzie w polskich kancelariach prawnych, firmach konsultingowych i administracji — wszędzie tam, gdzie potrzeba szybkiego dostępu do przepisów, orzeczeń i dokumentów prawnych.

Dla polskich firm MŚP korzystających z LEX — to szczególnie ważne, bo pracownicy logują się z różnych miejsc (biuro, home office, klient), a ta luka mogłaby być wykorzystana do przejęcia dostępu do bazy.

Ocena ryzyka — dlaczego CERT Polska mówi o minimalnym ryzyku

7 CERT Polska ocenił wpływ i ryzyko związane z wykorzystaniem tej luki jako minimalne. Atakujący, który ma możliwość ustawienia parametru ciasteczka, musi już mieć dostęp do systemu lub możliwość modyfikacji ruchu sieciowego (atak MITM — Man-in-the-Middle, czyli atak pośrodku). To nie jest luka, którą można eksploatować zdalnie bez żadnych warunków początkowych.

Ale — jeśli atakujący już ma taki dostęp, ta luka daje mu dodatkowy wektor ataku. Dlatego aktualizacja jest obowiązkowa.

Co zrobić w 24-48h

  1. Sprawdź wersję LEX Baza Dokumentów — otwórz aplikację, przejdź do Pomoc → O programie (lub podobna opcja). Jeśli wersja jest starsza niż 1.3.4 — przejdź do kroku 2.

  2. Pobierz i zainstaluj wersję 1.3.45 producent wydał poprawkę w wersji 1.3.4. Przejdź na stronę Wolters Kluwer Polska, zaloguj się na swoje konto, pobierz instalator i uruchom aktualizację. Jeśli używasz wersji sieciowej (dostęp przez serwer), poproś administratora IT o aktualizację serwera.

  3. Poinformuj zespół — jeśli w Twojej organizacji pracuje kilka osób z LEX, upewnij się, że wszyscy wiedzą o aktualizacji. Luka dotyczy każdego użytkownika.

  4. Jeśli nie możesz aktualizować natychmiast — ogranicz dostęp do LEX Baza Dokumentów z niezaufanych sieci (publiczny WiFi, VPN bez szyfrowania). Używaj tylko z biura lub domowej sieci, którą kontrolujesz.

Wskaźniki kompromitacji

Jeśli chcesz sprawdzić, czy ktoś próbował wykorzystać tę lukę:

  • Szukaj w logach przeglądarki (DevTools → Console) dziwnych wpisów zawierających kod JavaScript w parametrach ciasteczek.
  • Monitoruj ruch sieciowy — jeśli masz dostęp do logów proxy/firewall, szukaj żądań do LEX Baza Dokumentów z podejrzanymi parametrami w ciasteczkach.
  • Sprawdź logi dostępu do kont — czy były logowania z nieznanego miejsca lub czasu?

Ale szczerze mówiąc — ta luka jest trudna do eksploatacji bez dostępu do sieci ofiary, więc ryzyko rzeczywistego ataku jest niskie.

Źródła

Zobacz też

Footnotes

  1. CVE-2026-1493 dotyczy podatności w oprogramowaniu LEX Baza Dokumentów producenta Wolters Kluwer Polska — https://cert.pl/posts/2026/04/CVE-2026-1493/

  2. Podatność CVE-2026-1493 to atak typu DOM-based XSS w parametrze „em” ciasteczka — https://cert.pl/posts/2026/04/CVE-2026-1493/ 2

  3. Aplikacja przetwarza parametr po stronie klienta, umożliwiając atakującemu wykonanie kodu JavaScript w kontekście przeglądarki ofiary — https://cert.pl/posts/2026/04/CVE-2026-1493/ 2

  4. Podatne są wszystkie wersje LEX Baza Dokumentów poniżej 1.3.4 — https://cert.pl/posts/2026/04/CVE-2026-1493/ 2

  5. Podatność została naprawiona w wersji 1.3.4 — https://cert.pl/posts/2026/04/CVE-2026-1493/ 2

  6. Typ podatności to Improper Neutralization of Input During Web Page Generation (CWE-79) — https://cert.pl/posts/2026/04/CVE-2026-1493/

  7. CERT Polska ocenił wpływ i ryzyko związane z wykorzystaniem tej luki jako minimalne — https://cert.pl/posts/2026/04/CVE-2026-1493/