CVE-2026-30695
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
W interfejsie konfiguracyjnym urządzeń kontroli dostępu Zucchetti Axess (modele XA4, X3/X3BIO, X4, X7, XIO / i-door / i-door+) wykryto podatność na atak typu Cross-Site Scripting (XSS). Problem wynika z braku odpowiedniego oczyszczania danych wejściowych użytkownika w parametrze dirBrowse endpointu /file_manager.cgi.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarce administratora, co może prowadzić do kradzieży sesji, przejęcia konta lub modyfikacji konfiguracji urządzenia.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie urządzeń Zucchetti Axess do najnowszej wersji dostarczonej przez producenta. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu konfiguracyjnego tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
A Cross-Site Scripting (XSS) vulnerability exists in the web-based configuration interface of Zucchetti Axess access control devices, including XA4, X3/X3BIO, X4, X7, and XIO / i-door / i-door+. The vulnerability is caused by improper sanitization of user-supplied input in the dirBrowse parameter of the /file_manager.cgi endpoint.

