Katalog CVE

CVE-2026-32856

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na refleksyjny atak XSS, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Atakujący mogą wstrzykiwać niesanitowane dane przez parametr toDateFormat w punkcie końcowym dateConverter.

Ocena ryzyka

Podatność ta umożliwia kradzież ciasteczek sesyjnych oraz wykonywanie innych złośliwych działań w kontekście sesji przeglądarki ofiary, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Ellucian Banner Self-Service do wersji po kwietniu 2025 roku oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Ellucian Banner Self-Service before the April T2 release (2025-04-23) contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript in a victim's browser by injecting unsanitized input through the toDateFormat request parameter in the dateConverter endpoint. Attackers can craft a malicious URL targeting the unauthenticated dateConverter endpoint to steal session cookies or perform other malicious actions in the context of the victim's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS