CVE-2026-11943
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Akaunting w wersji 3.1.21 zawiera podatność na przechowywane ataki XSS w dokumentach na stronach szczegółowych faktur i rachunków. Użytkownik z autoryzacją może zapisać kod HTML/JavaScript w swoim imieniu profilu.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację Akaunting do najnowszej wersji, aby usunąć tę podatność oraz przeglądanie i ograniczenie możliwości edycji profilu przez użytkowników.
Oryginalny opis (angielski, źródło NVD)
Akaunting 3.1.21 contains an authenticated stored cross-site scripting vulnerability in the document timeline shown on invoice and bill detail pages. An authenticated user can store HTML/JavaScript in their own profile name.

