Polska pod atakiem: Podatność w oprogramowaniu Streamsoft Prestiż

CERT Polska ostrzega przed poważną podatnością znalezioną w popularnym programie do obsługi faktur elektronicznych, Streamsoft Prestiż. Zgłoszenie dotyczy wersji od 12.2.363.17 do 20.0.380.91 włącznie i zostało opublikowane 12 marca 2026 roku.

Podatność, oznaczona jako CVE-2026-0809, klasyfikowana jest jako Weak Encoding for Password (CWE-261). Oznacza to, że sposób kodowania tokenów w programie jest na tyle słaby, że umożliwia odgadnięcie wartości tokenu KSeF (Krajowego Systemu e-Faktur) po analizie sposobu kodowania tokenów o znanych wartościach.

Szczegóły podatności CVE-2026-0809

Zgłoszenie do CERT Polska wskazuje, że problem wynika z użycia niestandardowego algorytmu kodowania. Atakujący może wykorzystać tę lukę do uzyskania dostępu do danych firmowych lub faktur bez konieczności posiadania hasła.

Kto jest zagrożony?

Podatność dotyczy wszystkich użytkowników oprogramowania Streamsoft Prestiż w Polsce, którzy korzystają z wersji od 12.2.363.17 do 20.0.380.91 włącznie. Jest to szeroki zakres wersji, co oznacza, że wielu firm może być obecnie narażonych na atak.

Proszę was, wiecie jak to bywa z tymi aktualizacjami. Często ludzie myślą, że to tylko drobiazg, a tu proszę – taka luka w zabezpieczeniach. U nas to ma swoją historię, pamiętam kiedyś podobny incydent z programem do VAT-u i wtedy też była cała panika.

Jak się zabezpieczyć?

CERT Polska zapewnia, że problem został już rozwiązany i dostępna jest nowa wersja oprogramowania – 20.0.380.92. Użytkownicy powinni jak najszybciej zaktualizować swoje programy do tej wersji, aby wyeliminować ryzyko ataku.

No i co ważne: to jest dobry moment, żeby upewnić się, że wszyscy w firmie wiedzą, gdzie szukać aktualizacji. Bo jedna pani mi opowiadała, że jej sekretarka przez przypadek odinstalowała program myśłąc, że to jakieś śmieciowe okno, i dopiero potem okazało się, że to była właśnie ta wersja z luką. Niestety, naprawdę tak się zdarza.

Podziękowania dla Kamila Dąbkowskiego

CERT Polska publicznie podziękowało Kamilowi Dąbkowskiemu za zgłoszenie podatności. Organizacja zachęca do zgłaszania wszelkich podejrzanych luk w oprogramowaniu, co przyczynia się do poprawy bezpieczeństwa systemów informatycznych w kraju.

To dobrze, że takie osoby jak Kamil istnieją i są doceniane. Powiem szczerze, to daje mi trochę otuchy, choć wiecie, pogoda za oknem jest taka szara, a tu proszę – ktoś czujny nas ratuje.

Co to jest CERT Polska?

CERT Polska (Computer Emergency Response Team Polska) to zespół ekspertów ds. bezpieczeństwa komputerowego działający pod skrzydłami NASK PIB. Ich głównym zadaniem jest monitorowanie zagrożeń, reagowanie na incydenty oraz edukacja społeczeństwa w zakresie cyberbezpieczeństwa.

Znam tę organizację już od lat i zawsze podziwiałam ich profesjonalizm. To takie nasze „strażniki”, którzy czujnie obserwują sytuację w sieci, żeby nas chronić.

Źródło: null