CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-9809

High
Published: Translated: NVD NIST

Summary

W komponentach projektów Mautic 7 występuje podatność typu Cross-Site Scripting (XSS), która jest przechowywana. Nazwy projektów dostarczane przez użytkowników są wyświetlane bez odpowiedniej sanitizacji, co pozwala na wstrzykiwanie złośliwych skryptów przez uwierzytelnionych użytkowników z odpowiednimi uprawnieniami.

Risk Assessment

Atakujący może wykorzystać tę podatność do wykonywania działań administracyjnych w imieniu ofiary, zmieniać konfiguracje systemu lub wykradać wrażliwe dane, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz przegląd uprawnień użytkowników, aby ograniczyć możliwość wstrzykiwania złośliwych skryptów.

Original NVD description (English source)

A stored Cross-Site Scripting (XSS) vulnerability exists in the Projects component of Mautic 7. When displaying project tags and popovers on administrative detail views (such as campaigns, emails, or forms), user-supplied project names are rendered without proper sanitization. An authenticated user with permissions to create or edit projects can exploit this to inject malicious script payloads. When an administrative user views an entity associated with a compromised project and hovers over its tag, the injected script executes within the context of their active browser session. This could allow an attacker to perform administrative actions on behalf of the victim, alter system configurations, or exfiltrate sensitive data.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS