CVE-2026-50765
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
W systemie Koha Library Management System w wersjach od 0 do 25.11 odkryto podatność na trwałe XSS w panelu administracyjnym typów ograniczeń dla czytelników. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole etykiety typu ograniczenia (display_text).
Ocena ryzyka
Atakujący może wykonać złośliwy skrypt w przeglądarkach innych administratorów, co może prowadzić do kradzieży sesji, modyfikacji konfiguracji lub dalszej eskalacji ataku w obrębie systemu bibliotecznego.
Rekomendacja
Należy niezwłocznie zaktualizować system Koha do najnowszej dostępnej wersji, która zawiera poprawkę usuwającą podatność. Dodatkowo warto ograniczyć uprawnienia administratorów i stosować walidację danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A stored cross-site scripting (XSS) vulnerability in the patron restriction type administration page of Koha Library Management System 0 through 25.11 versions allow an authenticated remote attacker with administrator privileges to inject arbitrary web scripts via the restriction type label (display_text field).

