Katalog CVE

CVE-2026-48942

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Wtyczka K2 w wersji 2.26 i starszej wyświetla zawartość kolumny `#__k2_users.image` bezpośrednio w atrybutach `src` znaczników HTML w dwóch różnych szablonach, bez żadnego kodowania HTML.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy kod JavaScript lub inne treści przez pole obrazu użytkownika, co prowadzi do ataków XSS (Cross-Site Scripting) i potencjalnej kradzieży sesji lub przejęcia konta.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę K2 do wersji nowszej niż 2.26, która zawiera poprawkę zabezpieczającą przed wstrzykiwaniem kodu przez atrybuty src.

Oryginalny opis (angielski, źródło NVD)

K2 ≤ 2.26 renders the `#__k2_users.image` column directly into HTML `src` attributes via two distinct templates, in both cases without HTML escaping.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS