CVE-2026-50745
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W skrypcie stats-video.php brakuje sanityzacji danych wejściowych użytkownika. Adresy URL do tego skryptu nie były konstruowane zgodnie z najlepszymi praktykami, a wynik działania niestandardowej funkcji pomocniczej Smarty 'url' nie był odpowiednio kodowany ani sanityzowany, co pozwala na odbicie danych dostarczonych przez użytkownika bez ich escapowania.
Ocena ryzyka
Ryzyko polega na możliwości wstrzyknięcia złośliwego kodu (np. XSS) poprzez odbicie niesanityzowanych danych wejściowych, co może prowadzić do kradzieży sesji, przekierowań lub innych ataków na użytkowników końcowych.
Rekomendacja
Należy natychmiast zaktualizować skrypt stats-video.php, aby poprawnie kodować i sanityzować wszystkie dane wejściowe użytkownika oraz stosować bezpieczne metody konstruowania URL-i zgodne z najlepszymi praktykami.
Oryginalny opis (angielski, źródło NVD)
A missing sanitisation vulnerability exists with user input in the stats-video.php script. The way URLs to this script were constructed did not follow best practices, and the output of the Smarty custom helper function url was neither properly encoded nor sanitised, allowing user‑supplied input to be reflected without escaping.

