Katalog CVE

CVE-2026-55790

WysokieCVSS 7.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

W systemie CMS Craft w wersjach 5.0.0-RC1 do 5.9.22 oraz 4.0.0-RC1 do 4.17.15 wykryto podatność na atak XSS. Atakujący posiadający jedynie konto GitHub może umieścić złośliwy kod JavaScript w tytule zgłoszenia (issue) w repozytorium craftcms/cms. Gdy administrator Craft użyje widżetu CraftSupport i wyszuka frazę zwracającą to zainfekowane zgłoszenie, kod wykonuje się w sesji panelu administracyjnego.

Ocena ryzyka

Ryzyko polega na przejęciu sesji administratora bez konieczności posiadania konta w panelu CMS. Atakujący może wykraść dane, zmienić konfigurację lub rozprzestrzenić złośliwe oprogramowanie w organizacji.

Rekomendacja

Niezwłocznie zaktualizuj Craft CMS do wersji 4.17.16 lub 5.9.23, które zawierają poprawkę eliminującą podatność. Po aktualizacji zweryfikuj, czy widget CraftSupport nie wyświetla podejrzanych zgłoszeń.

Oryginalny opis (angielski, źródło NVD)

Craft CMS is a content management system (CMS). In versions 5.0.0-RC1 through 5.9.22 and 4.0.0-RC1 through 4.17.15, an attacker with only a GitHub account can plant a JavaScript payload in a craftcms/cms issue title. When a Craft admin uses the CraftSupport widget’s "Give feedback" screen and types a search term that returns the poisoned issue, the payload executes in the admin’s control panel session. No control panel account or elevated privileges are required on the attacker’s side. This issue has been fixed in versions 4.17.16 and 5.9.23.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS