Katalog CVE

CVE-2026-44960

NieznaneCVSS 0.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność umożliwia atak XSS (stored) poprzez nazwy użytkowników. Gdy administrator przegląda szczegóły dziennika audytu, złośliwy kod JavaScript osadzony w nazwie użytkownika jest wykonywany z powodu braku sanityzacji wyjścia.

Ocena ryzyka

Atakujący może przejąć sesję administratora, wykraść dane lub wykonać nieautoryzowane operacje w systemie.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie do wersji zawierającej poprawkę z odpowiednim escapowaniem danych w dzienniku audytu.

Oryginalny opis (angielski, źródło NVD)

A stored XSS can be exploited by leveraging the usernames as an attack vector. When an admin user viewed the audit log details for affected entries, any malicious JavaScript payload embedded in the username would be executed due to missing output sanitisation. Proper escaping has been added to the audit log details output.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS