Katalog CVE

CVE-2026-9591

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W kontrolerze NewsItemApiController w SimplCommerce przed commit 6233d73e występuje podatność na atak typu cross-site request forgery (CSRF), która pozwala nieautoryzowanemu zdalnemu atakującemu na tworzenie lub modyfikowanie elementów wiadomości jako administratora poprzez przesłanie spreparowanego formularza do `/api/news-items`, z powodu braku ochrony przed CSRF.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanych zmian w treści wiadomości, co może wpłynąć na reputację organizacji oraz zaufanie użytkowników.

Rekomendacja

Zaleca się wprowadzenie ochrony przed CSRF w aplikacji oraz aktualizację do najnowszej wersji SimplCommerce, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

Cross-site request forgery (CSRF) in NewsItemApiController in SimplCommerce prior to commit 6233d73e allows an unauthenticated remote attacker to create or modify news items as an administrator via a crafted form submitted to `/api/news-items`, due to missing anti-CSRF protection.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS