CVE-2026-48942
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Wtyczka K2 w wersji 2.26 i starszej wyświetla zawartość kolumny `#__k2_users.image` bezpośrednio w atrybutach `src` znaczników HTML w dwóch różnych szablonach, bez żadnego kodowania HTML.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript lub inne treści przez pole obrazu użytkownika, co prowadzi do ataków XSS (Cross-Site Scripting) i potencjalnej kradzieży sesji lub przejęcia konta.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę K2 do wersji nowszej niż 2.26, która zawiera poprawkę zabezpieczającą przed wstrzykiwaniem kodu przez atrybuty src.
Oryginalny opis (angielski, źródło NVD)
K2 ≤ 2.26 renders the `#__k2_users.image` column directly into HTML `src` attributes via two distinct templates, in both cases without HTML escaping.

