CVE-2026-13083
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W generatorze raportów Pen Drive stwierdzono lukę polegającą na braku odpowiedniego kodowania lub sanityzacji danych pochodzących z klastra podczas generowania raportów HTML. Atakujący z uprawnieniami administratora klastra może wstrzyknąć trwały ładunek XSS do obiektów klastra, który wykona się w przeglądarce każdego użytkownika otwierającego wygenerowany raport.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji, przechwycenia danych uwierzytelniających lub wykonania nieautoryzowanych działań w kontekście przeglądarki ofiary, co może prowadzić do naruszenia poufności i integralności danych w organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować generator raportów Pen Drive do wersji, w której zastosowano odpowiednie kodowanie wyjścia HTML oraz sanityzację danych pochodzących z klastra. Do czasu aktualizacji zaleca się ograniczenie dostępu do raportów HTML tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the Pen Drive report generator. Cluster-sourced data is rendered into HTML reports without proper escaping or sanitization. An attacker with cluster administrator privileges can inject a stored cross-site scripting (XSS) payload into cluster objects (such as ClusterVersion spec.channel) that executes in the browser of any user who opens the generated HTML report.

