CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-33386

LowCVSS 2.3
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.03%

10th percentile — higher than 10% of all known CVEs

Summary

QuickCMS jest podatny na ataki typu Cross-Site Scripting (XSS) z powodu niebezpiecznego mechanizmu pobierania wtyczek przez HTTP. Złośliwy atakujący może przeprowadzić atak typu Man-in-the-Middle (MITM), podszywając się pod serwer opensolution.org i serwując dowolny kod HTML lub JavaScript.

Risk Assessment

Organizacja jest narażona na wykonanie złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Brak aktualizacji do wersji 6.8 naraża system na poważne zagrożenia bezpieczeństwa.

Recommendation

Zaleca się jak najszybsze zaktualizowanie QuickCMS do wersji 6.8, aby usunąć tę podatność. Należy również przeanalizować istniejące wdrożenia pod kątem potencjalnych ataków MITM.

Original NVD description (English source)

QuickCMS is vulnerable to Cross-Site Scripting (XSS) through its insecure HTTP-based plugin‑fetching mechanism. A malicious attacker can perform a Man‑in‑the‑Middle (MITM) attack by impersonating the opensolution.org server and serving arbitrary HTML or JavaScript at the plugin list endpoint. When a user accesses the plugin page, the malicious content is automatically fetched, rendered, and executed. This issue was fixed in a patch to version 6.8 published on 15.05.2026, deployments without this patch are still vulnerable.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS