CVE-2026-54263
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2 występuje podatność na odbity XSS w widoku dynamicznego generatora URL obrazów w panelu administracyjnym. Użytkownik z ograniczonymi uprawnieniami edytora może przygotować złośliwy URL, który po otwarciu przez administratora wykona działania w jego imieniu.
Ocena ryzyka
Ryzyko polega na eskalacji uprawnień – atakujący z niskimi uprawnieniami może przejąć kontrolę nad kontem administratora, co prowadzi do nieautoryzowanego dostępu do danych i modyfikacji treści.
Rekomendacja
Należy niezwłocznie zaktualizować Wagtail do wersji 7.0.8, 7.3.3 lub 7.4.2. Ograniczenie dostępu do panelu administracyjnego tylko dla zaufanych użytkowników zmniejsza ryzyko eksploatacji.
Oryginalny opis (angielski, źródło NVD)
Wagtail is an open source content management system built on Django. In versions prior to 7.0.8, 7.3.3 and 7.4.2, reflected cross-site scripting (XSS) vulnerability exists on the dynamic image URL generator view within the Wagtail admin interface. A user with a limited-permission editor account for the Wagtail admin could craft a URL that, when viewed by a user with higher privileges, could perform actions with that user's credentials. The vulnerability is present for all sites, even if they do not enable the dynamic image serve view. The vulnerability is not exploitable by an ordinary site visitor without access to the Wagtail admin. This issue has been fixed in versions 7.0.8, 7.3.3, and 7.4.2.

