CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27744

Critical
Published: Translated: NVD NIST

Summary

Wtyczka SPIP tickets w wersjach przed 4.3.3 zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia, związaną z obsługą podglądu forum na publicznych stronach biletów. Wtyczka dodaje niezweryfikowane parametry żądania do HTML, co pozwala na wstrzyknięcie złośliwego kodu przez atakującego.

Risk Assessment

Podatność ta umożliwia atakującemu wykonanie dowolnego kodu w kontekście serwera WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji. Narażone są dane oraz integralność systemu.

Recommendation

Zaleca się aktualizację wtyczki SPIP tickets do wersji 4.3.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.

Original NVD description (English source)

The SPIP tickets plugin versions prior to 4.3.3 contain an unauthenticated remote code execution vulnerability in the forum preview handling for public ticket pages. The plugin appends untrusted request parameters into HTML that is later rendered by a template using unfiltered environment rendering (#ENV**), which disables SPIP output filtering. As a result, an unauthenticated attacker can inject crafted content that is evaluated through SPIP's template processing chain, leading to execution of code in the context of the web server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS