CVE-2026-50040
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Storage Concentrator (SC i SCVM) jest podatny na odbite cross-site scripting z powodu nieoczyszczonej treści zwracanej w stronach błędów 404. Atakujący może stworzyć złośliwy URL, który po odwiedzeniu przez uwierzytelnionego użytkownika powoduje wykonanie dowolnego skryptu w kontekście aplikacji w przeglądarce ofiary.
Ocena ryzyka
Ryzyko obejmuje kradzież ciasteczek sesyjnych, przekierowanie użytkowników na złośliwe strony lub wykonanie nieautoryzowanych działań w imieniu ofiary, co może prowadzić do naruszenia poufności i integralności danych.
Rekomendacja
Należy natychmiast zaktualizować Storage Concentrator do najnowszej wersji zawierającej poprawkę usuwającą podatność oraz wdrożyć filtrowanie danych wejściowych i kodowanie wyjścia dla wszystkich stron błędów.
Oryginalny opis (angielski, źródło NVD)
Storage Concentrator (SC & SCVM) is vulnerable to reflected cross-site scripting due to unsanitized content being echoed back in 404 error pages. An attacker can craft a malicious URL that, when visited by an authenticated user, causes arbitrary script content to execute within the victim's browser session in the context of the application. This could be leveraged to steal session cookies, redirect users, or perform unauthorized actions on behalf of the victim.

