CVE-2026-11975
ŚrednieCVSS 6.2Streszczenie
W SimplCommerce przed commit 6142d3b5 występuje podatność na przechowywane ataki XSS w NewsItemApiController. Umożliwia to uwierzytelnionemu administratorowi wykonanie dowolnego kodu JavaScript poprzez pola ShortContent i FullContent, które są przechowywane bez sanitizacji HTML.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży danych lub przejęcia sesji administratora. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji SimplCommerce, która zawiera poprawki dla tej podatności. Dodatkowo, należy wdrożyć odpowiednie mechanizmy sanitizacji danych wejściowych w polach ShortContent i FullContent.
Oryginalny opis (angielski, źródło NVD)
Stored cross-site scripting (XSS) in NewsItemApiController In SimplCommerce prior to commit 6142d3b5 allows an authenticated administrator to execute arbitrary JavaScript via the ShortContent and FullContent fields, which are stored without HTML sanitization and rendered unencoded via @Html.Raw()

