Katalog CVE
CVE-2026-10850
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.24%
Percentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Plane CE w wersji 1.3.1 pozwala na to, aby członek projektu o niskich uprawnieniach mógł przesłać dowolny kod HTML/JS w polu description_html podczas tworzenia elementu pracy przez API v1 intake.
Ocena ryzyka
Możliwość wstrzyknięcia złośliwego kodu może prowadzić do ataków XSS, co zagraża bezpieczeństwu aplikacji i danych użytkowników.
Rekomendacja
Zaleca się ograniczenie uprawnień dla członków projektu oraz walidację i sanitizację danych wejściowych w polu description_html.
Oryginalny opis (angielski, źródło NVD)
Plane CE 1.3.1 allows a low-privileged project member to submit arbitrary HTML/JS in the description_html field when creating an intake work item through the API v1 intake endpoint.

