CVE-2026-4929
MediumCVSS 5.4Summary
Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).
Risk Assessment
Złośliwe nazwy terminów taksonomii mogą być renderowane w sposób niebezpieczny, co stwarza ryzyko wykonania nieautoryzowanego kodu w kontekście użytkownika. To może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.
Recommendation
Zaleca się aktualizację do najnowszej wersji Simple Hierarchical Select, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt kodu w celu zapewnienia odpowiedniego escapowania danych wyjściowych.
Original NVD description (English source)
Simple Hierarchical Select (SHS) for Drupal 7 contains cross-site scripting risk due to improper output escaping of term-derived text. Confirmed affected paths include field formatter output (shs_field_formatter_view) and term-tree child-term data generation (shs_term_get_children). Malicious taxonomy term names can be rendered unsafely depending on output context. This affects versions from 7.x-1.0 through (and including) 7.x-1.10.

