用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Vulnerability Overview): 从 "Opis podsumujący" (Summary description) 部分提取。 2. 影响范围 (Affected Scope): 从 "Producent podleganego oprogramowania" (Vendor of affected software) 和 "Nazwa podleganego oprogramowania" (Name of affected software) 以及 "Podatne wersje" (Vulnerable versions) 提取。 3. 修复方案 (Fix/Mitigation): 从 "Opis podsumujący" 中关于修复的部分提取。 4. POC/Exploit: 检查是否有代码块。 详细分析截图内容: 标题: Podatności w oprogramowaniu Szafir (Szafir software vulnerabilities) CVE ID: CVE-2020-28927 和 CVE-2020-28928 发布日期: 02 kwietnia 2020 (April 2, 2020) 厂商: Krajowa Sieć Rozliczeniowa (National Clearing House - KSR) 软件名称: Szafir SDK Web 和 Szafir 受影响版本: CVE-2020-28927: Wszystkie poniżej 0.17.4 (All versions below 0.17.4) CVE-2020-28928: Wszystkie poniżej 1.1.0 (All versions below 1.1.0) 漏洞类型: CVE-2020-28927: Use of Less Trusted Source (使用不可信来源) CVE-2020-28928: Improper Validation of Integrity Check Value (完整性校验值验证不当) 描述 (Opis podsumujący): 提到 Szafir SDK Web 允许攻击者通过注入 HTML 代码来绕过安全机制。 提到 Szafir 软件允许攻击者通过修改文件哈希值来绕过完整性检查。 具体描述: CVE-2020-28927: 攻击者可以注入 HTML 代码,导致跨站脚本攻击 (XSS) 或类似攻击。描述中提到 "injection of HTML code" 和 "bypass of security mechanisms"。 CVE-2020-28928: 攻击者可以修改文件哈希值,导致完整性检查失败。描述中提到 "modification of file hash value"。 修复方案: CVE-2020-28927: 升级到 0.17.4 或更高版本。 CVE-2020-28928: 升级到 1.1.0 或更高版本。 整理成中文 Markdown: 漏洞概述: 包含两个 CVE。一个是 Szafir SDK Web 的 HTML 注入/不可信来源问题 (CVE-2020-28927),另一个是 Szafir 软件的完整性校验值验证不当问题 (CVE-2020-28928)。 影响范围: 厂商: Krajowa Sieć Rozliczeniowa (KSR) 软件: Szafir SDK Web (版本 漏洞总结 漏洞概述 该页面披露了波兰国家清算中心(Krajowa Sieć Rozliczeniowa, KSR)开发的 Szafir 软件及其 SDK 中的两个安全漏洞: 1. CVE-2020-28927: 涉及 Szafir SDK Web。该漏洞允许攻击者通过注入 HTML 代码来绕过安全机制(使用不可信来源),可能导致跨站脚本攻击(XSS)或其他注入攻击。 2. CVE-2020-28928: 涉及 Szafir 软件。该漏洞涉及完整性校验值验证不当(Improper Validation of Integrity Check Value),允许攻击者通过修改文件哈希值来绕过完整性检查。 影响范围 厂商: Krajowa Sieć Rozliczeniowa (KSR) 受影响软件及版本: Szafir SDK Web: 所有低于 0.17.4 的版本。 Szafir: 所有低于 1.1.0 的版本。 修复方案 将 Szafir SDK Web 升级到 0.17.4 或更高版本。 将 Szafir 软件升级到 1.1.0 或更高版本。 POC/利用代码 页面中未提供具体的 POC 代码或利用代码,仅提供了漏洞的文字描述。