CVE-2026-32843
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 - wyżej niż 37% wszystkich znanych CVE
Streszczenie
Podatność XSS w systemie Location Aware Sensor System firmy Linkit ONE (do commitu f06bd20 z 2023-04-26) występuje w pliku PM25.php. Atakujący może wstrzyknąć złośliwy kod JavaScript do parametrów GET (site, city, district, channel, apikey), co prowadzi do wykonania skryptu w przeglądarce ofiary.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji, przekierowania do złośliwych stron lub kradzieży danych uwierzytelniających użytkowników odwiedzających spreparowany URL.
Rekomendacja
Zaleca się natychmiastową aktualizację systemu do wersji po commicie f06bd20 oraz zastosowanie kodowania wyjścia (output encoding) dla wszystkich parametrów GET w pliku PM25.php.
Oryginalny opis (angielski, źródło NVD)
Location Aware Sensor System by Linkit ONE, up to commit f06bd20 (2023-04-26), contains a reflected cross-site scripting vulnerability in the PM25.php file that allows remote attackers to execute arbitrary JavaScript by injecting malicious code into GET parameters. Attackers can craft a malicious URL containing unencoded payloads in the site, city, district, channel, or apikey parameters to execute scripts in victims' browsers when they visit the page.

