CVE-2026-57958
ŚrednieCVSS 6.1Streszczenie
Mixpost do wersji 2.6.0 zawiera odbitą podatność na skrypty między witrynami (XSS), która pozwala nieuwierzytelnionym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarkach uwierzytelnionych użytkowników poprzez spreparowanie złośliwych adresów URL zwrotnych OAuth z niesanitowanymi parametrami błędu.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przejęcia sesji uwierzytelnionego użytkownika lub wykonania nieautoryzowanych działań w jego imieniu, co może prowadzić do kradzieży danych lub eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować Mixpost do wersji nowszej niż 2.6.0, która zawiera poprawkę usuwającą podatność, oraz wdrożyć walidację i sanityzację wszystkich parametrów wejściowych w kontrolerach OAuth.
Oryginalny opis (angielski, źródło NVD)
Mixpost through 2.6.0 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript in authenticated users' browsers by crafting malicious OAuth callback URLs with unsanitized error query parameters. Attackers can exploit the OAuth callback controller's failure to sanitize error parameters before rendering them through Laravel flash messages via the Vue v-html directive to hijack authenticated user sessions or perform unauthorized actions.

