CVE-2026-34416
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
OSCAL-GUI zawiera podatność na refleksyjny atak typu cross-site scripting, który pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez wstrzyknięcie złośliwego wejścia przez parametr żądania projektu.
Ocena ryzyka
Atakujący mogą stworzyć złośliwy URL, który po odwiedzeniu przez ofiarę umożliwia wykonanie dowolnych skryptów, co może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.
Rekomendacja
Zaleca się walidację i sanitizację wszystkich danych wejściowych oraz implementację odpowiednich zabezpieczeń przed atakami XSS w aplikacji OSCAL-GUI.
Oryginalny opis (angielski, źródło NVD)
OSCAL-GUI contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript in a victim's browser by injecting malicious input through the project request parameter. Attackers can craft a malicious URL containing unsanitized input that breaks out of the JavaScript string and HTML attribute context in the body onload event handler to execute arbitrary scripts when the link is visited by a victim.

