Katalog CVE

CVE-2026-12425

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

W produkcie PowerSchool Employee Access Center w wersji 23.10 wykryto podatność na ataki XSS. Polega ona na niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej, co umożliwia wstrzyknięcie kodu JavaScript po adresie URL logowania. Wstrzyknięty kod jest następnie wykonywany przez funkcję eval() w kontekście przeglądarki użytkownika.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania dowolnego kodu JavaScript w sesji zalogowanego użytkownika, co może prowadzić do kradzieży danych, przejęcia sesji lub innych działań w imieniu ofiary.

Rekomendacja

Należy niezwłocznie zaktualizować oprogramowanie PowerSchool Employee Access Center do wersji nowszej niż 23.10, w której usunięto tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do systemu oraz walidację i sanityzację wszystkich danych wejściowych w URL.

Oryginalny opis (angielski, źródło NVD)

Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in PowerSchool Employee Access Center allows Cross-Site Scripting (XSS). This issue affects Employee Access Center: 23.10. It is possible to add in javascript code after the login URL and have it be eval()'d in the page and execute in the context of the user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS