Katalog CVE

CVE-2026-50765

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

W systemie Koha Library Management System w wersjach od 0 do 25.11 odkryto podatność na trwałe XSS w panelu administracyjnym typów ograniczeń dla czytelników. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole etykiety typu ograniczenia (display_text).

Ocena ryzyka

Atakujący może wykonać złośliwy skrypt w przeglądarkach innych administratorów, co może prowadzić do kradzieży sesji, modyfikacji konfiguracji lub dalszej eskalacji ataku w obrębie systemu bibliotecznego.

Rekomendacja

Należy niezwłocznie zaktualizować system Koha do najnowszej dostępnej wersji, która zawiera poprawkę usuwającą podatność. Dodatkowo warto ograniczyć uprawnienia administratorów i stosować walidację danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

A stored cross-site scripting (XSS) vulnerability in the patron restriction type administration page of Koha Library Management System 0 through 25.11 versions allow an authenticated remote attacker with administrator privileges to inject arbitrary web scripts via the restriction type label (display_text field).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS