CVE-2026-48940
NiskieCVSS 3.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Użytkownik Joomla z uprawnieniami K2 do tworzenia elementów (domyślnie rola Autora) może przesłać artykuł, w którym pole POST `embedVideo` zawiera surowy znacznik `<script>`. K2 przechowuje go dosłownie i wyświetla bez kodowania każdemu odwiedzającemu stronę artykułu.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarkach odwiedzających, prowadząc do kradzieży sesji, przekierowań na złośliwe strony lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować rozszerzenie K2 do najnowszej wersji, która zawiera poprawkę usuwającą podatność na XSS. Do czasu aktualizacji należy ograniczyć uprawnienia do tworzenia artykułów tylko zaufanym użytkownikom.
Oryginalny opis (angielski, źródło NVD)
A Joomla user with K2 "create item" rights (Author tier by default) can submit an article whose `embedVideo` POST field contains a raw `<script>` tag; K2 stores it verbatim and renders it unescaped to any visitor of the article page.

