Katalog CVE

CVE-2026-56381

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Craft CMS od wersji 5.0.0-RC1 zawiera podatność na przechowywane ataki typu cross-site scripting na stronie uprawnień użytkowników, gdzie nazwy grup użytkowników są renderowane bez odpowiedniego zabezpieczenia HTML. Atakujący z dostępem administratora mogą wstrzykiwać dowolny kod JavaScript przez pole nazwy grupy użytkowników, który wykonuje się, gdy inni użytkownicy przeglądają lub edytują uprawnienia.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w kontekście przeglądarki innych użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do uprawnień użytkowników.

Rekomendacja

Zaleca się aktualizację Craft CMS do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy ograniczyć dostęp do strony uprawnień użytkowników tylko dla zaufanych administratorów.

Oryginalny opis (angielski, źródło NVD)

Craft CMS from version 5.0.0-RC1 contains a stored cross-site scripting vulnerability in the User Permissions page where user group names are rendered without proper HTML escaping. Attackers with admin access can inject arbitrary JavaScript via the user group name field that executes when other users view or edit permissions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS