CVE-2026-13558
NiskieCVSS 3.5Streszczenie
W systemie CodeAstro Complaint Management System 1.0 wykryto podatność na atak XSS (Cross-Site Scripting) w komponencie Report Handler. Problem występuje podczas przetwarzania pliku /report/addreport, gdzie manipulacja argumentem Report Title umożliwia wstrzyknięcie złośliwego skryptu. Atak może być przeprowadzony zdalnie, a exploit został upubliczniony.
Ocena ryzyka
Ryzyko polega na możliwości wykonania dowolnego kodu JavaScript w przeglądarce ofiary, co może prowadzić do kradzieży sesji, przejęcia konta lub wycieku danych wrażliwych. Ze względu na publicznie dostępny exploit, organizacje używające tego systemu są narażone na bezpośrednie ataki.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować tymczasowe zabezpieczenie, takie jak walidacja i sanityzacja danych wejściowych w argumencie Report Title. Do czasu wdrożenia poprawek zaleca się ograniczenie dostępu do systemu tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A security flaw has been discovered in CodeAstro Complaint Management System 1.0. This issue affects some unknown processing of the file /report/addreport of the component Report Handler. Performing a manipulation of the argument Report Title results in cross site scripting. Remote exploitation of the attack is possible. The exploit has been released to the public and may be used for attacks.

