Katalog CVE

CVE-2026-34097

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Podatność w systemie językowym Guardian polega na braku sanityzacji parametru GET 'id' przed wstawieniem go do atrybutów akcji formularzy HTML w pliku text_file.php. Uwierzytelniony atakujący może stworzyć URL, który wstrzykuje skrypty wykonywane w sesji przeglądarki ofiary.

Ocena ryzyka

Ryzyko polega na możliwości wykonania skryptów w kontekście sesji uwierzytelnionego użytkownika, co może prowadzić do kradzieży danych, przejęcia sesji lub dalszych ataków na organizację.

Rekomendacja

Należy natychmiast zaktualizować system językowy Guardian do najnowszej wersji zawierającej poprawkę oraz wdrożyć walidację i sanityzację wszystkich parametrów GET w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Guardian language-system fails to sanitize the id GET parameter before inserting it into multiple HTML form action attributes in text_file.php (lines 94, 101, 323, 403, 826, 852). An authenticated attacker can craft a URL that injects script tags executing in the victim's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS