Katalog CVE

CVE-2026-50767

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwały atak XSS. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole komunikatu przy odbiorze typu egzemplarza.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarkach innych administratorów, prowadząc do kradzieży sesji, modyfikacji danych lub dalszej eskalacji ataku w systemie bibliotecznym.

Rekomendacja

Należy natychmiast zaktualizować system Koha do wersji nowszej niż 25.11, która zawiera poprawkę usuwającą podatność. Dodatkowo warto ograniczyć uprawnienia administratorów i stosować filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

A stored cross-site scripting (XSS) vulnerability in the item type administration page of Koha Library Management System 0 through 25.11 versions allow an authenticated remote attacker with administrator privileges to inject arbitrary web scripts via the item type check-in message field (checkinmsg).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS