CVE-2026-40457
NiskieCVSS 2.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W systemie LMS (LAN Management System) przed commit 9c5651b występuje podatność typu Reflected Cross-Site Scripting (XSS) w modułach 'dbrecover.php' i 'netremap.php', gdzie niesanitizowane parametry GET są bezpośrednio osadzane w wyjściu HTML. Umożliwia to atakującemu wstrzyknięcie dowolnego kodu JavaScript po kliknięciu w spreparowany link przez uwierzytelnionego użytkownika.
Ocena ryzyka
Podatność ta może prowadzić do przejęcia sesji użytkownika lub kradzieży danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację systemu LMS do najnowszej wersji oraz wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych, aby zapobiec wstrzyknięciom kodu.
Oryginalny opis (angielski, źródło NVD)
A Reflected Cross-Site Scripting (XSS) vulnerability exists in LMS (LAN Management System) before commit 9c5651b in the "dbrecover.php" and "netremap.php" modules where unsanitized GET parameters are directly embedded into HTML output. This allows an attacker to inject arbitrary JavaScript when an authenticated user clicks a crafted link, provided the required conditions (such as a network defined in the system) are met.

