Katalog CVE

CVE-2026-30082

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

W systemie IngEstate Server w wersji 11.14.0 wykryto wiele podatności na trwały skrypt krzyżowy (XSS) w funkcji edycji strony listy pakietów oprogramowania. Atakujący może wstrzyknąć złośliwy kod do parametrów About application, What's news lub Release note, co prowadzi do wykonania dowolnych skryptów lub kodu HTML.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia sesji użytkownika, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania w organizacji poprzez wyświetlenie spreparowanych treści innym administratorom.

Rekomendacja

Należy natychmiast zaktualizować IngEstate Server do najnowszej wersji oraz zastosować filtrowanie i kodowanie danych wejściowych dla parametrów About application, What's news i Release note.

Oryginalny opis (angielski, źródło NVD)

Multiple stored cross-site scripting (XSS) vulnerabilities in the Edit feature of the Software Package List page of IngEstate Server v11.14.0 allow attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the About application, What's news, or Release note parameters.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS