CVE-2026-46609
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Umbraco to system zarządzania treścią oparty na ASP.NET. Użytkownicy z autoryzacją mogą wstrzykiwać HTML do pola wejściowego, co skutkuje jego renderowaniem w oknie dialogowym potwierdzenia bez odpowiedniego kodowania wyjścia.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do ataków XSS i naruszenia bezpieczeństwa danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 17.4.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Umbraco is an ASP.NET CMS. From version 14.0.0 to before version 17.4.0, authenticated users are able to inject HTML into an input field, which is rendered in the confirmation dialog without proper output encoding. This issue has been patched in version 17.4.0.

