Katalog CVE

CVE-2026-11491

NiskieCVSS 2.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Zidentyfikowano podatność w systemie zarządzania zasobami ludzkimi CodeAstro w wersji 1.0, która dotyczy nieznanej funkcji pliku /notice/All_notice w komponencie zarządzania tablicą ogłoszeń. Manipulacja argumentem Tytuł ogłoszenia z wykorzystaniem złośliwego kodu SVG prowadzi do ataku typu cross-site scripting (XSS).

Ocena ryzyka

Atakujący może zdalnie wykorzystać tę podatność, co stwarza ryzyko przejęcia kontroli nad sesjami użytkowników lub kradzieży danych. Publicznie dostępny exploit zwiększa prawdopodobieństwo ataku.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie systemu do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed XSS, takie jak walidacja i sanitizacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was identified in CodeAstro Human Resource Management System 1.0. Impacted is an unknown function of the file /notice/All_notice of the component Notice Board Management. Such manipulation of the argument Notice Title with the input <svg onload="alert('Stored XSS Triggered by Ashik Mohamed')"> as part of POST leads to cross site scripting. It is possible to launch the attack remotely. The exploit is publicly available and might be used.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS