CVE-2026-25868
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
MiniGal Nano w wersji 0.3.5 i wcześniejszych zawiera odbitą podatność XSS w pliku index.php przez parametr dir. Aplikacja konstruuje $currentdir z danych kontrolowanych przez użytkownika i osadza go w komunikacie błędu bez kodowania wyjścia, co pozwala atakującemu na dostarczenie HTML/JavaScript, które jest odbijane w odpowiedzi.
Ocena ryzyka
Udane wykorzystanie może prowadzić do wykonania dowolnego skryptu w przeglądarce ofiary w kontekście podatnej aplikacji, co może skutkować kradzieżą sesji, przekierowaniem do złośliwych stron lub innymi atakami.
Rekomendacja
Zaleca się natychmiastową aktualizację do najnowszej wersji MiniGal Nano, która usuwa tę podatność, oraz wdrożenie walidacji i kodowania wyjścia dla wszystkich danych wejściowych użytkownika.
Oryginalny opis (angielski, źródło NVD)
MiniGal Nano version 0.3.5 and prior contain a reflected cross-site scripting (XSS) vulnerability in index.php via the dir parameter. The application constructs $currentdir from user-controlled input and embeds it into an error message without output encoding, allowing an attacker to supply HTML/JavaScript that is reflected in the response. Successful exploitation can lead to execution of arbitrary script in a victim's browser in the context of the vulnerable application.

