Katalog CVE

CVE-2026-25558

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

QloApps w wersji do 1.7.0 zawiera podatność na przechowywane ataki typu cross-site scripting w menedżerze plików dla administratorów, co pozwala na wstrzykiwanie złośliwego JavaScriptu poprzez przesyłanie spreparowanych plików SVG.

Ocena ryzyka

Atakujący mogą osadzić obsługiwane zdarzenia JavaScript w przesyłanych plikach SVG, co prowadzi do wykonania dowolnych skryptów w przeglądarkach użytkowników, którzy później wyświetlą te pliki.

Rekomendacja

Zaleca się aktualizację QloApps do najnowszej wersji oraz ograniczenie możliwości przesyłania plików SVG przez administratorów, aby zminimalizować ryzyko ataku.

Oryginalny opis (angielski, źródło NVD)

QloApps through 1.7.0 contains a stored cross-site scripting vulnerability in the admin file manager that allows authenticated administrators to inject malicious JavaScript by uploading crafted SVG files. Attackers can embed JavaScript event handlers such as onload within SVG files uploaded through the file manager to execute arbitrary scripts in the browser of any user who subsequently views the file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS