CVE-2026-30082
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
W systemie IngEstate Server w wersji 11.14.0 wykryto wiele podatności na trwały skrypt krzyżowy (XSS) w funkcji edycji strony listy pakietów oprogramowania. Atakujący może wstrzyknąć złośliwy kod do parametrów About application, What's news lub Release note, co prowadzi do wykonania dowolnych skryptów lub kodu HTML.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji użytkownika, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania w organizacji poprzez wyświetlenie spreparowanych treści innym administratorom.
Rekomendacja
Należy natychmiast zaktualizować IngEstate Server do najnowszej wersji oraz zastosować filtrowanie i kodowanie danych wejściowych dla parametrów About application, What's news i Release note.
Oryginalny opis (angielski, źródło NVD)
Multiple stored cross-site scripting (XSS) vulnerabilities in the Edit feature of the Software Package List page of IngEstate Server v11.14.0 allow attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the About application, What's news, or Release note parameters.

