CVE-2026-34097
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.
Ocena ryzyka
Ryzyko polega na możliwości wykonania skryptów w kontekście sesji uwierzytelnionego użytkownika, co może prowadzić do kradzieży danych, przejęcia sesji lub dalszych ataków na organizację.
Rekomendacja
Należy natychmiast zaktualizować system językowy Guardian do najnowszej wersji zawierającej poprawkę oraz wdrożyć walidację i sanityzację wszystkich parametrów GET w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Guardian language-system fails to sanitize the id GET parameter before inserting it into multiple HTML form action attributes in text_file.php (lines 94, 101, 323, 403, 826, 852). An authenticated attacker can craft a URL that injects script tags executing in the victim's browser session.

