CVE-2026-32856
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na refleksyjny atak XSS, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Atakujący mogą wstrzykiwać niesanitowane dane przez parametr toDateFormat w punkcie końcowym dateConverter.
Ocena ryzyka
Podatność ta umożliwia kradzież ciasteczek sesyjnych oraz wykonywanie innych złośliwych działań w kontekście sesji przeglądarki ofiary, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Ellucian Banner Self-Service do wersji po kwietniu 2025 roku oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Ellucian Banner Self-Service before the April T2 release (2025-04-23) contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript in a victim's browser by injecting unsanitized input through the toDateFormat request parameter in the dateConverter endpoint. Attackers can craft a malicious URL targeting the unauthenticated dateConverter endpoint to steal session cookies or perform other malicious actions in the context of the victim's browser session.

