CVE-2026-23695
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Cockpit CMS do wersji 2.14.0 zawiera podatność na trwałe XSS w polu typu Set, w opcji szablonu wyświetlania. Ciąg szablonu jest przetwarzany przez funkcję $interpolate za pomocą new Function() i renderowany przez Vue v-html bez sanityzacji, co pozwala atakującemu z uprawnieniami content/:models/manage na wstrzyknięcie dowolnego kodu JavaScript.
Ocena ryzyka
Atakujący może wykonać dowolny skrypt w przeglądarce każdego użytkownika przeglądającego listę elementów kolekcji, co może prowadzić do kradzieży sesji, modyfikacji treści lub dalszych ataków na użytkowników systemu.
Rekomendacja
Należy natychmiast zaktualizować Cockpit CMS do wersji zawierającej commit 72a83fc lub nowszej, która usuwa tę podatność. Do czasu aktualizacji ogranicz dostęp do funkcji zarządzania modelami tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Cockpit CMS through version 2.14.0, patched in commit 72a83fc, contains a stored cross-site scripting vulnerability in the Set field type's Display template option, where the template string is processed by the $interpolate function using new Function() and rendered via Vue's v-html directive without sanitization. An attacker with content/:models/manage permission can inject arbitrary JavaScript into the Display template, which executes in the browser of any user viewing the collection items list.

