Katalog CVE

CVE-2026-29598

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

W systemie DDSN Interactive Acora CMS w wersji 10.7.1 odkryto wiele podatności na trwały cross-site scripting (XSS) w punkcie końcowym submit_add_user.asp. Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do parametrów First Name i Last Name, co prowadzi do wykonania skryptów w przeglądarkach innych użytkowników.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży sesji, przejęcia kont administratora lub wycieku poufnych danych poprzez wykonanie dowolnych skryptów w kontekście aplikacji. Atak może być wykorzystany do dalszej eskalacji uprawnień w organizacji.

Rekomendacja

Należy natychmiast zaktualizować system Acora CMS do najnowszej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się walidację i sanityzację danych wejściowych w parametrach First Name i Last Name oraz wdrożenie Content Security Policy (CSP).

Oryginalny opis (angielski, źródło NVD)

Multiple stored cross-site scripting (XSS) vulnerabilities in the submit_add_user.asp endpoint of DDSN Interactive Acora CMS v10.7.1 allow attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the First Name and Last Name parameters.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS