CVE-2026-44960
NieznaneCVSS 0.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność umożliwia atak XSS (stored) poprzez nazwy użytkowników. Gdy administrator przegląda szczegóły dziennika audytu, złośliwy kod JavaScript osadzony w nazwie użytkownika jest wykonywany z powodu braku sanityzacji wyjścia.
Ocena ryzyka
Atakujący może przejąć sesję administratora, wykraść dane lub wykonać nieautoryzowane operacje w systemie.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie do wersji zawierającej poprawkę z odpowiednim escapowaniem danych w dzienniku audytu.
Oryginalny opis (angielski, źródło NVD)
A stored XSS can be exploited by leveraging the usernames as an attack vector. When an admin user viewed the audit log details for affected entries, any malicious JavaScript payload embedded in the username would be executed due to missing output sanitisation. Proper escaping has been added to the audit log details output.

