Katalog CVE

CVE-2026-10567

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wykryto podatność w 1Panel-dev CordysCRM do wersji 1.4.1, która dotyczy funkcji Save w pliku ModuleFormService.java. Manipulacja argumentem Description prowadzi do ataku typu cross site scripting, który może być inicjowany zdalnie.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przeprowadzenia ataków XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Publiczne ujawnienie exploita zwiększa ryzyko ataków na system.

Rekomendacja

Zaleca się aktualizację do wersji 1.7.0, aby usunąć tę podatność. Wdrożenie łatki o identyfikatorze c87682afa8df79853299f75489c9d333f7bc5fce jest również rekomendowane.

Oryginalny opis (angielski, źródło NVD)

A security vulnerability has been detected in 1Panel-dev CordysCRM up to 1.4.1. This impacts the function Save of the file src/main/java/cn/cordys/crm/system/service/ModuleFormService.java of the component ModuleFormController. The manipulation of the argument Description leads to cross site scripting. The attack may be initiated remotely. The exploit has been disclosed publicly and may be used. Upgrading to version 1.7.0 will fix this issue. The identifier of the patch is c87682afa8df79853299f75489c9d333f7bc5fce. Upgrading the affected component is recommended.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS