CVE-2026-12163
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W systemie Fortra File Integrity Monitoring (FIM), dawniej Tripwire Enterprise, w wersjach przed 9.4.0.1 wykryto podatność na trwały atak XSS w komponencie Asset View UI. Uwierzytelniony użytkownik z odpowiednimi uprawnieniami może przechowywać złośliwy skrypt w polach konfiguracyjnych węzłów lub baz danych, który zostanie wykonany w przeglądarce innego administratora.
Ocena ryzyka
Atakujący może wykraść sesje administratorów, zmodyfikować konfigurację monitorowania integralności plików lub uzyskać dostęp do wrażliwych danych, co zagraża bezpieczeństwu całej infrastruktury IT.
Rekomendacja
Należy niezwłocznie zaktualizować Fortra FIM do wersji 9.4.0.1 lub nowszej. Do czasu aktualizacji ogranicz uprawnienia do tworzenia i modyfikowania konfiguracji węzłów i baz danych tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Fortra File Integrity Monitoring (FIM), formerly Tripwire Enterprise, versions prior to 9.4.0.1 contain a stored cross-site scripting (XSS) vulnerability in the Asset View UI component. An authenticated user with sufficient privileges to create or modify affected node or database configuration fields could store script content that may be rendered as HTML instead of safely escaped text when the affected Asset View UI content is displayed.

