Jeśli twoja uczelnia używa Wirtualnej Uczelni firmy Simple SA — to jest komunikat dla działu IT uczelni, nie dla studenta. Zaktualizujcie oprogramowanie powyżej wersji wu#2016.437.295#0#20260327_105545. Wszystkie wersje do tej włącznie zawierają podatność umożliwiającą zdalne wykonanie kodu na serwerze bez żadnego logowania. Do czasu aktualizacji rozważcie ograniczenie dostępu do endpointu redirectToUrl na poziomie WAF lub reverse proxy.
2 czerwca CERT Polska opublikował komunikat o dwóch podatnościach w oprogramowaniu Wirtualna Uczelnia firmy Simple SA. Zgłosił je Dawid Bakaj z VIPentest, CERT Polska koordynował proces ujawnienia.
Jedna z nich — CVE-2026-34906 — jest tym rodzajem podatności, który nie wymaga komentarza, żeby zrozumieć jego wagę: zdalne wykonanie kodu, przez nieuwierzytelnionego atakującego, w systemie który przechowuje oceny, dane osobowe i dane finansowe studentów polskich uczelni.
Co dokładnie jest podatne
Wirtualna Uczelnia to aplikacja webowa firmy Simple SA, część platformy EduHub (dawniej SIMPLE.EDU). Jest wdrożona na wielu polskich uczelniach — Collegium Witelona, Akademia Zamojska, Społeczna Akademia Nauk, Uniwersytet Rzeszowski i inne. To jest system, przez który studenci i wykładowcy logują się do dziekanatu przez przeglądarkę.
Co Wirtualna Uczelnia przechowuje, według opisów samych uczelni: oceny, plan zajęć, dane osobowe, historię studiów, dane finansowe i numery rachunków, dokumentację toku studiów, materiały dydaktyczne, proces dyplomowania wraz z kontrolą antyplagiatową i protokołami obron. Na Uniwersytecie Rzeszowskim system korzysta z tej samej bazy danych co moduł Dziekanat.XP — czyli dostęp do serwera aplikacji jest drogą do całej bazy danych uczelni.
To jest kontekst, w którym trzeba czytać CVE-2026-34906.
CVE-2026-34906: SSTI prowadzące do reverse shell
Podatność jest typu Server-Side Template Injection (SSTI), sklasyfikowana jako CWE-1336 — Improper Neutralization of Special Elements Used in a Template Engine.
Mechanizm, dokładnie jak opisuje CERT Polska: w endpoincie redirectToUrl i parametrze redirectUrlParameterniewystarczająca walidacja danych wejściowych pozwala na wstrzyknięcie dowolnych wyrażeń, które są wykonywane na serwerze.
Server-Side Template Injection działa tak: aplikacja używa silnika szablonów do generowania stron — wstawia dane do szablonu, który następnie jest renderowany. Jeśli dane wejściowe od użytkownika trafiają do silnika szablonów bez walidacji, atakujący może wstrzyknąć nie tekst, ale wyrażenie języka szablonów — które silnik wykona jako kod. Różnica między „wyświetl to, co wpisał użytkownik" a „wykonaj to, co wpisał użytkownik" jest tu różnicą między stroną a przejętym serwerem.
Konsekwencja, którą CERT Polska nazywa wprost: wykorzystanie tej podatności może umożliwić atakującemu uruchamianie zdalnych poleceń, w tym ustanowienie połączenia zwrotnego (reverse shell).
Reverse shell to moment, w którym serwer uczelni nawiązuje połączenie z maszyną atakującego i oddaje mu konsolę. Od tej chwili atakujący wykonuje polecenia na serwerze tak, jakby przy nim siedział — z uprawnieniami procesu aplikacji. A ten serwer, jak opisują same uczelnie, ma dostęp do bazy z ocenami, danymi osobowymi i finansowymi.
Kluczowe są dwa słowa z opisu CERT Polska: „nieuwierzytelnionego atakującego". Nie trzeba być studentem. Nie trzeba mieć konta. Nie trzeba znać żadnego loginu. Wystarczy dostęp sieciowy do endpointu redirectToUrl.
CVE-2026-34907: XSS przez parametr locale
Druga podatność jest lżejsza, ale warta odnotowania, bo dotyczy tego samego systemu. To Reflected Cross-Site Scripting (CWE-79) przez niewłaściwą obsługę parametru locale w wielu endpointach.
Mechanizm według CERT Polska: atakujący może przygotować złośliwy URL z osadzonym kodem JavaScript i wysłać go ofierze. Gdy ofiara otworzy link, osadzony skrypt zostanie wykonany w jej przeglądarce.
W kontekście systemu dziekanatowego Reflected XSS jest groźniejszy, niż się wydaje. Link wysłany do studenta lub — co gorsze — do pracownika administracji z wysokimi uprawnieniami, otwarty w zalogowanej sesji, pozwala wykonać akcje w imieniu ofiary albo przejąć jej sesję. To jest dokładnie ten wektor, który opisywaliśmy przy Roundcube i kampanii UNC1151 — XSS w aplikacji webowej jako droga do przejęcia sesji uprzywilejowanego użytkownika.
Obie podatności dotyczą wszystkich wersji do wu#2016.437.295#0#20260327_105545 włącznie.
Druga prędkość — znów
W Radarze #2 i analizie „polski akcent" opisaliśmy tezę dwóch prędkości: gdy globalnie AI przepisuje tempo bezpieczeństwa — Mythos, Glasswing, HTTP/2 Bomb znaleziony przez Codex — lokalnie polskie oprogramowanie sektora publicznego wciąż łata podstawowe klasy błędów, które są opisane w każdym podręczniku od piętnastu lat.
CVE-2026-34906 jest dokładnie tym. SSTI nie jest egzotyczną techniką — jest pozycją na liście OWASP, ma własne narzędzia do wykrywania, jest tematem szkoleń dla deweloperów. To, że trafia do produkcyjnego systemu obsługującego polskie uczelnie i pozostaje tam aż do wersji z marca 2026, jest tym samym wzorcem, co CVE-2026-9058 w Szafir SDK— biblioteka e-administracji, która zwracała „zweryfikowano" dla certyfikatów o nieokreślonym statusie.
I jak przy Szafir, druga prędkość jest groźniejsza, niż się wydaje, z tych samych powodów. Bliskość: to nie jest abstrakcyjny zero-day z raportu zagranicznej firmy, to jest system wdrożony na konkretnych polskich uczelniach. Dane: oceny, PESEL, numery rachunków, dokumentacja toku studiów — wszystko w jednej bazie za serwerem, który można przejąć bez logowania. I AI po obu stronach: te same modele, które globalnie znajdują osiemnastoletnie błędy w nginx, równie skutecznie znajdą SSTI w endpoincie redirectToUrl, gdy ktoś je na ten system skieruje.
Różnica w stosunku do Szafir jest jedna i pozytywna: tutaj zadziałał responsible disclosure. Badacz — Dawid Bakaj z VIPentest — zgłosił podatność do CERT Polska, CERT koordynował, producent dostał czas na poprawkę, komunikat ukazał się z numerami CVE. Model, który opisywaliśmy jako właściwy przy serii Szafir, zadziałał i tutaj.
Co zrobić
Dla działów IT uczelni używających Wirtualnej Uczelni: zaktualizujcie oprogramowanie powyżej wersji wu#2016.437.295#0#20260327_105545. To jest priorytet — RCE bez uwierzytelnienia w systemie z danymi osobowymi to ekspozycja, która przy naruszeniu rodzi obowiązki zgłoszeniowe wobec UODO.
Do czasu aktualizacji: ograniczcie dostęp do endpointu redirectToUrl na poziomie WAF lub reverse proxy, monitorujcie logi aplikacji pod kątem nietypowych wartości parametru redirectUrlParameter i połączeń wychodzących z serwera aplikacji (sygnatura reverse shell).
Dla studentów i pracowników: tu nie ma działania po waszej stronie poza ostrożnością wobec linków do systemu dziekanatowego przysłanych z nieznanych źródeł — to wektor XSS z CVE-2026-34907. Reszta jest po stronie uczelni.
Źródła
CERT Polska — komunikat o podatnościach CVE-2026-34906 i CVE-2026-34907 w Wirtualnej Uczelni: https://cert.pl/posts/2026/06/CVE-2026-34906/
CVE-2026-34906 — rekord w bazie CVE: https://www.cve.org/CVERecord?id=CVE-2026-34906
CVE-2026-34907 — rekord w bazie CVE: https://www.cve.org/CVERecord?id=CVE-2026-34907
Simple SA — opis platformy edukacyjnej EduHub i modułu Wirtualna Uczelnia: https://simple.com.pl/branze/edukacyjna/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł