Katalog CVE

CVE-2026-33386

NiskieCVSS 2.3
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

QuickCMS jest podatny na ataki typu Cross-Site Scripting (XSS) z powodu niebezpiecznego mechanizmu pobierania wtyczek przez HTTP. Złośliwy atakujący może przeprowadzić atak typu Man-in-the-Middle (MITM), podszywając się pod serwer opensolution.org i serwując dowolny kod HTML lub JavaScript.

Ocena ryzyka

Organizacja jest narażona na wykonanie złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Brak aktualizacji do wersji 6.8 naraża system na poważne zagrożenia bezpieczeństwa.

Rekomendacja

Zaleca się jak najszybsze zaktualizowanie QuickCMS do wersji 6.8, aby usunąć tę podatność. Należy również przeanalizować istniejące wdrożenia pod kątem potencjalnych ataków MITM.

Oryginalny opis (angielski, źródło NVD)

QuickCMS is vulnerable to Cross-Site Scripting (XSS) through its insecure HTTP-based plugin‑fetching mechanism. A malicious attacker can perform a Man‑in‑the‑Middle (MITM) attack by impersonating the opensolution.org server and serving arbitrary HTML or JavaScript at the plugin list endpoint. When a user accesses the plugin page, the malicious content is automatically fetched, rendered, and executed. This issue was fixed in a patch to version 6.8 published on 15.05.2026, deployments without this patch are still vulnerable.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS