Katalog CVE

CVE-2026-56393

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Craft CMS w wersjach 4.x (>= 4.0.0-RC1, < 4.17.0-beta.1) oraz 5.x (>= 5.0.0-RC1, < 5.9.0-beta.1) zawiera wiele podatności na przechowywane ataki typu cross-site scripting, gdzie nazwy ustawień i etykiety opcji pól są renderowane bez sanitizacji. Uwierzytelniony administrator może wstrzykiwać złośliwe ładunki do nazw sekcji, nazw woluminów, nazw grup użytkowników, nazw zestawów globalnych, generowanych nazw pól, etykiet opcji checkbox/radio oraz etykiet źródłowych, co prowadzi do wykonania dowolnego JavaScriptu w sesjach panelu kontrolnego innych użytkowników.

Ocena ryzyka

Atakujący może wykorzystać te podatności do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych lub przejęcia sesji innych użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację Craft CMS do wersji 4.17.0-beta.1 lub 5.9.0-beta.1, aby usunąć te podatności. Dodatkowo, należy przeprowadzić audyt bezpieczeństwa w celu zidentyfikowania potencjalnych wstrzyknięć złośliwego kodu.

Oryginalny opis (angielski, źródło NVD)

Craft CMS 4.x (>= 4.0.0-RC1, < 4.17.0-beta.1) and 5.x (>= 5.0.0-RC1, < 5.9.0-beta.1) contain multiple stored cross-site scripting vulnerabilities where settings names and field option labels are rendered without sanitization (e.g., via the checkbox.twig template, which used {{ label|raw }}). An authenticated administrator (with allowAdminChanges enabled) can inject malicious payloads into section names, volume names, user group names, global set names, generated field names, checkbox/radio option labels, and custom source labels, causing arbitrary JavaScript to execute in other users' control-panel sessions. Fixed in 4.17.0-beta.1 and 5.9.0-beta.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS