Katalog CVE

CVE-2026-42052

ŚrednieCVSS 6.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Beets to system zarządzania biblioteką multimediów. W wersjach przed 2.10.0, wbudowany interfejs webowy używał interpolacji szablonów Underscore <%= ... %> dla nieufnych pól metadanych, co prowadziło do możliwości wstrzyknięcia złośliwego kodu HTML.

Ocena ryzyka

Atakujący mógł wykorzystać tę podatność do aktywacji złośliwego kodu w DOM, co stwarzało poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 2.10.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Beets is the media library management system. Prior to version 2.10.0, the bundled web UI uses Underscore template interpolation mode <%= ... %> for untrusted metadata fields. In this runtime, <%= ... %> is raw insertion and HTML escaping is only performed by <%- ... %>. Rendered output is then inserted with .html(...), allowing attacker-controlled markup to become active DOM. This issue has been patched in version 2.10.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS