CVE-2026-11994
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Akaunting w wersji 3.1.21 zawiera podatność na uwierzytelnione przechowywane ataki typu Cross-Site Scripting w procesie zarządzania raportami. Użytkownik z uprawnieniami do tworzenia lub aktualizacji raportów może przechowywać dowolny kod HTML/JavaScript w polu opisu raportu.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Akaunting, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację i sanitizację danych wprowadzanych przez użytkowników w polu opisu raportu.
Oryginalny opis (angielski, źródło NVD)
Akaunting 3.1.21 contains an authenticated stored Cross-Site Scripting vulnerability in the report management workflow. A user with permission to create or update reports can store arbitrary HTML/JavaScript in the description field of a report.

