Katalog CVE

CVE-2026-53907

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność Stored Cross‑Site Scripting (XSS) w MCO umożliwia atakującemu z uprawnieniami do zmiany logo aplikacji wstrzyknięcie złośliwego kodu JavaScript poprzez przesłanie spreparowanego pliku SVG. Kod wykonuje się podczas renderowania lub otwierania logo.

Ocena ryzyka

Atakujący może wykraść sesje użytkowników, przekierować ich na złośliwe strony lub wykonać inne działania w kontekście przeglądarki ofiary, co zagraża poufności i integralności danych organizacji.

Rekomendacja

Należy natychmiast zablokować możliwość przesyłania plików SVG jako logo aplikacji oraz wdrożyć walidację i sanityzację przesyłanych plików graficznych. Zaleca się także aktualizację do najnowszej dostępnej wersji MCO po jej wydaniu.

Oryginalny opis (angielski, źródło NVD)

MCO is vulnerable to Stored Cross‑Site Scripting (XSS) via the application logo upload functionality. An attacker with the ability to change the application logo can upload a crafted SVG file containing malicious JavaScript code that is executed when the logo is rendered or opened. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS