Katalog CVE

CVE-2026-35014

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

W Open ISES Tickets przed wersją 3.44.2 wykryto odbiciową podatność na ataki XSS w pliku routes_nm.php. Umożliwia ona uwierzytelnionym atakującym wstrzyknięcie dowolnego kodu JavaScript poprzez przekazanie niesanityzowanej wartości w parametrze GET ticket_id, która jest bezpośrednio umieszczana w atrybucie VALUE ukrytego pola formularza.

Ocena ryzyka

Atakujący może przygotować złośliwy URL z kodem JavaScript w parametrze ticket_id, który po otwarciu przez ofiarę wykonuje się w jej przeglądarce, co może prowadzić do kradzieży sesji, przejęcia konta lub innych szkodliwych działań w kontekście aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, która zawiera poprawkę eliminującą podatność. Dodatkowo warto wdrożyć walidację i sanityzację wszystkich danych wejściowych przekazywanych przez parametry GET.

Oryginalny opis (angielski, źródło NVD)

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in routes_nm.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the ticket_id GET parameter directly into a hidden input field VALUE attribute. Attackers can craft a malicious URL containing a JavaScript payload in the ticket_id parameter that executes in the victim's browser when the URL is visited.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS