CVE-2026-29598
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
W systemie DDSN Interactive Acora CMS w wersji 10.7.1 odkryto wiele podatności na trwały cross-site scripting (XSS) w punkcie końcowym submit_add_user.asp. Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do parametrów First Name i Last Name, co prowadzi do wykonania skryptów w przeglądarkach innych użytkowników.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji, przejęcia kont administratora lub wycieku poufnych danych poprzez wykonanie dowolnych skryptów w kontekście aplikacji. Atak może być wykorzystany do dalszej eskalacji uprawnień w organizacji.
Rekomendacja
Należy natychmiast zaktualizować system Acora CMS do najnowszej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się walidację i sanityzację danych wejściowych w parametrach First Name i Last Name oraz wdrożenie Content Security Policy (CSP).
Oryginalny opis (angielski, źródło NVD)
Multiple stored cross-site scripting (XSS) vulnerabilities in the submit_add_user.asp endpoint of DDSN Interactive Acora CMS v10.7.1 allow attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the First Name and Last Name parameters.

