Katalog CVE

CVE-2026-11994

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Akaunting w wersji 3.1.21 zawiera podatność na uwierzytelnione przechowywane ataki typu Cross-Site Scripting w procesie zarządzania raportami. Użytkownik z uprawnieniami do tworzenia lub aktualizacji raportów może przechowywać dowolny kod HTML/JavaScript w polu opisu raportu.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Akaunting, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację i sanitizację danych wprowadzanych przez użytkowników w polu opisu raportu.

Oryginalny opis (angielski, źródło NVD)

Akaunting 3.1.21 contains an authenticated stored Cross-Site Scripting vulnerability in the report management workflow. A user with permission to create or update reports can store arbitrary HTML/JavaScript in the description field of a report.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS