Katalog CVE

CVE-2026-48909

KrytyczneCVSS 9.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.80%

Percentyl 52 — wyżej niż 52% wszystkich znanych CVE

Streszczenie

SP LMS (com_splms) w wersji poniżej 4.1.4 od JoomShaper deserializuje dane z ciasteczek kontrolowane przez użytkownika bez walidacji, co umożliwia nieautoryzowanemu zdalnemu atakującemu wykonanie dowolnego kodu na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala atakującym na zdalne przejęcie kontroli nad serwerem.

Rekomendacja

Zaleca się aktualizację komponentu do wersji 4.1.4 lub nowszej oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed deserializacją danych z ciasteczek.

Oryginalny opis (angielski, źródło NVD)

SP LMS (com_splms) < 4.1.4 by JoomShaper deserializes user-controlled cookie data without validation, enabling an unauthenticated remote attacker to execute arbitrary code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS