CVE-2026-13536
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W GotoHTTP do wersji 10.2 wykryto podatność na atak XSS w pliku /reg.12x poprzez manipulację parametrem sn. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania skryptów w przeglądarce ofiary, co może prowadzić do kradzieży sesji, przekierowań lub wycieku danych. Producent uznał podatność za mało istotną, ale publiczny exploit zwiększa ryzyko ataku.
Rekomendacja
Zaleca się natychmiastowe zablokowanie dostępu do pliku /reg.12x na zaporze sieciowej lub serwerze WWW oraz monitorowanie aktualizacji producenta. Rozważ tymczasowe wyłączenie funkcji związanych z tym endpointem.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been found in GotoHTTP up to 10.2. This issue affects some unknown processing of the file /reg.12x. The manipulation of the argument sn leads to cross site scripting. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor explains: "We immediately removed unnecessary parameter echo from source code. However the URL in the issue description will never be used in browser nor exposed to user, so it will not bring secure problem in fact. So we don't upgrade server right now, it will be included in next version together with other features."

