CVE-2026-45231
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
DumbAssets do wersji 1.0.11 zawiera podatność na trwałe ataki XSS w polach zasobów (nazwa, opis, modelNumber, serialNumber, tagi). Wartości są przechowywane bez sanityzacji po stronie serwera i renderowane przez innerHTML bez escapowania po stronie klienta. Atakujący mogą tworzyć lub aktualizować zasoby z ładunkami HTML/JavaScript przez API, co pozwala na wykonanie dowolnego skryptu w przeglądarkach użytkowników przeglądających listę zasobów.
Ocena ryzyka
Ryzyko obejmuje kradzież sesji, przejęcie kont użytkowników oraz, przy wyłączonej Content-Security-Policy, możliwość nieograniczonego łączenia się z wewnętrznymi usługami sieciowymi, co może prowadzić do eskalacji ataku na infrastrukturę organizacji.
Rekomendacja
Należy natychmiast zaktualizować DumbAssets do wersji powyżej 1.0.11, wdrożyć sanityzację danych wejściowych po stronie serwera oraz escapowanie wyjścia po stronie klienta, a także włączyć Content-Security-Policy, aby ograniczyć możliwość wykonywania skryptów.
Oryginalny opis (angielski, źródło NVD)
DumbAssets through 1.0.11 contains a stored cross-site scripting vulnerability in asset fields including name, description, modelNumber, serialNumber, and tags that are stored without server-side sanitization and rendered using innerHTML without client-side escaping. Attackers can create or update assets with HTML or JavaScript payloads via the asset API endpoints to execute arbitrary scripts in the browsers of users viewing the asset list, and with Content-Security-Policy disabled, the injected scripts can make unrestricted connections to internal network services.

