CVE-2026-12425
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
W produkcie PowerSchool Employee Access Center w wersji 23.10 wykryto podatność na ataki XSS. Polega ona na niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej, co umożliwia wstrzyknięcie kodu JavaScript po adresie URL logowania. Wstrzyknięty kod jest następnie wykonywany przez funkcję eval() w kontekście przeglądarki użytkownika.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania dowolnego kodu JavaScript w sesji zalogowanego użytkownika, co może prowadzić do kradzieży danych, przejęcia sesji lub innych działań w imieniu ofiary.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie PowerSchool Employee Access Center do wersji nowszej niż 23.10, w której usunięto tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do systemu oraz walidację i sanityzację wszystkich danych wejściowych w URL.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in PowerSchool Employee Access Center allows Cross-Site Scripting (XSS). This issue affects Employee Access Center: 23.10. It is possible to add in javascript code after the login URL and have it be eval()'d in the page and execute in the context of the user.

