Katalog CVE

CVE-2026-13083

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W generatorze raportów Pen Drive stwierdzono lukę polegającą na braku odpowiedniego kodowania lub sanityzacji danych pochodzących z klastra podczas generowania raportów HTML. Atakujący z uprawnieniami administratora klastra może wstrzyknąć trwały ładunek XSS do obiektów klastra, który wykona się w przeglądarce każdego użytkownika otwierającego wygenerowany raport.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży sesji, przechwycenia danych uwierzytelniających lub wykonania nieautoryzowanych działań w kontekście przeglądarki ofiary, co może prowadzić do naruszenia poufności i integralności danych w organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować generator raportów Pen Drive do wersji, w której zastosowano odpowiednie kodowanie wyjścia HTML oraz sanityzację danych pochodzących z klastra. Do czasu aktualizacji zaleca się ograniczenie dostępu do raportów HTML tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the Pen Drive report generator. Cluster-sourced data is rendered into HTML reports without proper escaping or sanitization. An attacker with cluster administrator privileges can inject a stored cross-site scripting (XSS) payload into cluster objects (such as ClusterVersion spec.channel) that executes in the browser of any user who opens the generated HTML report.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS