Katalog CVE

CVE-2026-27502

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

SVXportal w wersji 2.5 i wcześniejszych zawiera odbitą podatność na skrypty między witrynami (XSS) w pliku log.php poprzez parametr search. Aplikacja osadza niesanitizowaną wartość parametru bezpośrednio w atrybucie value elementu HTML input, co pozwala nieuwierzytelnionemu zdalnemu atakującemu na wstrzyknięcie i wykonanie dowolnego kodu JavaScript w przeglądarce ofiary, jeśli ta odwiedzi spreparowany URL.

Ocena ryzyka

Ryzyko dla organizacji obejmuje kradzież danych sesji użytkowników, wykonywanie działań w ich imieniu oraz modyfikację wyświetlanej treści, co może prowadzić do naruszenia poufności i integralności danych.

Rekomendacja

Należy natychmiast zaktualizować SVXportal do wersji nowszej niż 2.5, a jeśli nie jest dostępna, zastosować walidację i kodowanie wyjścia parametru search w pliku log.php.

Oryginalny opis (angielski, źródło NVD)

SVXportal version 2.5 and prior contain a reflected cross-site scripting vulnerability in log.php via the search query parameter. The application embeds the unsanitized parameter value directly into an HTML input value attribute, allowing an unauthenticated remote attacker to inject and execute arbitrary JavaScript in a victim's browser if the victim visits a crafted URL. This can be used to steal session data, perform actions as the victim, or modify displayed content.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS