CVE-2026-47106
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na przechowywane ataki XSS w funkcjonalności wyszukiwania kursów. Użytkownicy z dostępem do zapisu w systemie mogą wstrzykiwać złośliwe skrypty JavaScript do pól związanych z wykładowcami i kursami.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania dowolnych skryptów w przeglądarkach użytkowników, którzy przeglądają czasy spotkań kursów, co może prowadzić do kradzieży danych lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację do wersji Ellucian Banner Self-Service po wydaniu T2 w kwietniu 2025 roku oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Ellucian Banner Self-Service before the April T2 release (2025-04-23) contains a stored cross-site scripting vulnerability in the course search functionality that allows authenticated Banner ERP users to inject malicious payloads into faculty and course fields by exploiting missing HTML encoding during DOM insertion. An attacker with Banner ERP write access can store malicious JavaScript in fields such as faculty displayName, emailAddress, subjectDescription, or courseTitle; these values are subsequently served unsanitized by the unauthenticated getFacultyMeetingTimes API endpoint, causing arbitrary script execution in the browser of any user who views the affected course's meeting times.

