CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-4929

MediumCVSS 5.4
Published: Updated: Translated: NVD NIST

Summary

Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).

Risk Assessment

Złośliwe nazwy terminów taksonomii mogą być renderowane w sposób niebezpieczny, co stwarza ryzyko wykonania nieautoryzowanego kodu w kontekście użytkownika. To może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.

Recommendation

Zaleca się aktualizację do najnowszej wersji Simple Hierarchical Select, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt kodu w celu zapewnienia odpowiedniego escapowania danych wyjściowych.

Original NVD description (English source)

Simple Hierarchical Select (SHS) for Drupal 7 contains cross-site scripting risk due to improper output escaping of term-derived text. Confirmed affected paths include field formatter output (shs_field_formatter_view) and term-tree child-term data generation (shs_term_get_children). Malicious taxonomy term names can be rendered unsafely depending on output context. This affects versions from 7.x-1.0 through (and including) 7.x-1.10.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS