Katalog CVE

CVE-2026-30695

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

W interfejsie konfiguracyjnym urządzeń kontroli dostępu Zucchetti Axess (modele XA4, X3/X3BIO, X4, X7, XIO / i-door / i-door+) wykryto podatność na atak typu Cross-Site Scripting (XSS). Problem wynika z braku odpowiedniego oczyszczania danych wejściowych użytkownika w parametrze dirBrowse endpointu /file_manager.cgi.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarce administratora, co może prowadzić do kradzieży sesji, przejęcia konta lub modyfikacji konfiguracji urządzenia.

Rekomendacja

Należy niezwłocznie zaktualizować oprogramowanie urządzeń Zucchetti Axess do najnowszej wersji dostarczonej przez producenta. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu konfiguracyjnego tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

A Cross-Site Scripting (XSS) vulnerability exists in the web-based configuration interface of Zucchetti Axess access control devices, including XA4, X3/X3BIO, X4, X7, and XIO / i-door / i-door+. The vulnerability is caused by improper sanitization of user-supplied input in the dirBrowse parameter of the /file_manager.cgi endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS