Katalog CVE

CVE-2026-53737

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Juicer w wersji do 1.12.18 nie ucieka z pól odpowiedzi API zdalnego źródła przed ich renderowaniem na stronie ustawień administratora. Atakujący, którzy kontrolują dane z podłączonego źródła, mogą wstrzykiwać skrypty, które wykonują się w przeglądarce administratora podczas ładowania strony ustawień.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego kodu w przeglądarce administratora, co stwarza ryzyko przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Zaleca się aktualizację Juicer do najnowszej wersji, która naprawia tę podatność oraz wprowadzenie odpowiednich środków zabezpieczających w celu filtrowania danych zdalnych źródeł.

Oryginalny opis (angielski, źródło NVD)

Juicer through 1.12.18 fails to escape remote feed API response fields before rendering them on the admin settings page. Attackers controlling the connected feed data can inject script that executes in an administrator's browser when the settings page loads.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS