CVE-2026-8474
MediumCVSS 5.3Summary
Odkryto podatność na urządzeniach Stormshield Network Security, która umożliwia przeprowadzenie ataku XSS (Cross-Site Scripting) na API logowania. Atakujący może wykonać skrypt na maszynie ofiary, co prowadzi do kradzieży ciasteczek lub innych wrażliwych danych oraz modyfikacji zachowania strony.
Risk Assessment
Ryzyko dla organizacji obejmuje możliwość kradzieży danych uwierzytelniających oraz przekierowywania użytkowników na złośliwe strony, co może prowadzić do dalszych ataków i utraty zaufania do systemu.
Recommendation
Zaleca się aktualizację urządzeń Stormshield do najnowszych wersji, aby zniwelować tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak filtrowanie danych wejściowych.
Original NVD description (English source)
A vulnerability was discovered on Stormshield Network Security * 4.3.0 to 4.3.41, * 4.8.0 to 4.8.15, * 5.0.0 to 5.0.5 It is possible to execute a reflected XSS attack on the login API available on Stormshield SNS appliance by executing a script on the victim's machine. The risks include the theft of cookies or other sensitive data, as well as the modification of page behavior, for example, by redirecting the victim to malicious websites.

