CVE-2026-53737
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Juicer w wersji do 1.12.18 nie ucieka z pól odpowiedzi API zdalnego źródła przed ich renderowaniem na stronie ustawień administratora. Atakujący, którzy kontrolują dane z podłączonego źródła, mogą wstrzykiwać skrypty, które wykonują się w przeglądarce administratora podczas ładowania strony ustawień.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu w przeglądarce administratora, co stwarza ryzyko przejęcia kontroli nad systemem lub kradzieży danych.
Rekomendacja
Zaleca się aktualizację Juicer do najnowszej wersji, która naprawia tę podatność oraz wprowadzenie odpowiednich środków zabezpieczających w celu filtrowania danych zdalnych źródeł.
Oryginalny opis (angielski, źródło NVD)
Juicer through 1.12.18 fails to escape remote feed API response fields before rendering them on the admin settings page. Attackers controlling the connected feed data can inject script that executes in an administrator's browser when the settings page loads.

