Katalog CVE

CVE-2026-41932

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

Vvveb przed wersją 1.0.8.3 zawiera podatność na trwałe cross-site scripting (XSS) w procesie rejestracji klienta. Kontroler Signup::addUser() kopiuje surowe wartości pola username z żądania POST do pola display_name przed sanityzacją, co pozwala atakującym na wstrzyknięcie kodu HTML i JavaScript.

Ocena ryzyka

Atakujący może przechowywać złośliwy skrypt w polu display_name, który zostanie wykonany w przeglądarkach innych użytkowników podczas wyświetlania tej nazwy bez kodowania, co może prowadzić do kradzieży sesji, przekierowań lub kradzieży danych.

Rekomendacja

Należy natychmiast zaktualizować Vvveb do wersji 1.0.8.3 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ręcznie zastosować sanityzację i kodowanie wyjściowe dla pola display_name we wszystkich widokach.

Oryginalny opis (angielski, źródło NVD)

Vvveb before 1.0.8.3 contains a stored cross-site scripting vulnerability in the customer signup flow where the Signup::addUser() controller copies raw POST username values into the display_name field before sanitization occurs. Attackers can submit HTML and script markup in the username field during signup, which gets stripped from the username column but persisted verbatim in the display_name column, allowing stored XSS execution when display_name is rendered without encoding in vulnerable views.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS