Katalog CVE

CVE-2026-35013

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W Open ISES Tickets przed wersją 3.44.2 występuje odbita podatność na ataki typu cross-site scripting (XSS) w pliku street_view.php. Umożliwia ona uwierzytelnionym atakującym wstrzyknięcie dowolnego kodu JavaScript poprzez przekazanie niesanityzowanych wartości w parametrach GET thelat i thelng, które są bezpośrednio wstawiane do przypisań zmiennych JavaScript.

Ocena ryzyka

Ryzyko polega na możliwości wykonania złośliwego skryptu w przeglądarce ofiary po kliknięciu w spreparowany link. Może to prowadzić do kradzieży sesji, wycieku danych lub przejęcia konta użytkownika.

Rekomendacja

Należy niezwłocznie zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, która zawiera poprawkę eliminującą podatność. Dodatkowo warto wdrożyć walidację i sanityzację wszystkich danych wejściowych pochodzących od użytkownika.

Oryginalny opis (angielski, źródło NVD)

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in street_view.php that allows authenticated attackers to inject arbitrary JavaScript by passing unsanitized values through the thelat and thelng GET parameters directly into JavaScript variable assignments. Attackers can craft a malicious URL containing a JavaScript payload in either parameter that executes in the victim's browser when the URL is visited.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS