CVE-2026-36906
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
W systemie IoTGateway w wersji 3.0.1 wykryto podatność na atak XSS (Cross-Site Scripting) w funkcji rejestrowania zdarzeń (Log Record Function). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
Ocena ryzyka
Atakujący może przejąć sesję administratora, wykraść dane uwierzytelniające lub rozprzestrzenić złośliwe oprogramowanie w sieci wewnętrznej organizacji.
Rekomendacja
Należy natychmiast zaktualizować system IoTGateway do najnowszej wersji, która usuwa tę podatność. Do czasu aktualizacji należy ograniczyć dostęp do panelu administracyjnego oraz wyłączyć funkcję rejestrowania zdarzeń, jeśli to możliwe.
Oryginalny opis (angielski, źródło NVD)
Cross Site Scripting vulnerability in iotgateway v.3.0.1 allows a remote attacker to execute arbitrary code via the Log Record Function

