Katalog CVE

CVE-2026-35011

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W Open ISES Tickets przed wersją 3.44.2 występuje odbita podatność na atak XSS w pliku opena.php. Umożliwia ona uwierzytelnionym atakującym wstrzyknięcie dowolnego kodu JavaScript poprzez niesanitizowany parametr frm_call GET, który jest bezpośrednio wyświetlany na stronie.

Ocena ryzyka

Ryzyko polega na możliwości wykonania złośliwego skryptu w przeglądarce ofiary, co może prowadzić do kradzieży sesji, przejęcia konta lub wycieku danych wrażliwych w organizacji.

Rekomendacja

Należy natychmiast zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo zaleca się walidację i sanityzację wszystkich danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in opena.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the frm_call GET parameter directly into page output. Attackers can craft a malicious URL containing a JavaScript payload in the frm_call parameter that executes in the victim's browser when the URL is visited.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS