Katalog CVE

CVE-2026-10850

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Plane CE w wersji 1.3.1 pozwala na to, aby członek projektu o niskich uprawnieniach mógł przesłać dowolny kod HTML/JS w polu description_html podczas tworzenia elementu pracy przez API v1 intake.

Ocena ryzyka

Możliwość wstrzyknięcia złośliwego kodu może prowadzić do ataków XSS, co zagraża bezpieczeństwu aplikacji i danych użytkowników.

Rekomendacja

Zaleca się ograniczenie uprawnień dla członków projektu oraz walidację i sanitizację danych wejściowych w polu description_html.

Oryginalny opis (angielski, źródło NVD)

Plane CE 1.3.1 allows a low-privileged project member to submit arbitrary HTML/JS in the description_html field when creating an intake work item through the API v1 intake endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS