CVE-2026-34096
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.
Ocena ryzyka
Ryzyko polega na możliwości wykonania dowolnego kodu JavaScript w przeglądarce ofiary, co może prowadzić do kradzieży sesji, modyfikacji treści strony lub dalszych ataków na użytkowników systemu.
Rekomendacja
Należy zaimplementować odpowiednią sanityzację parametru 'name' przed wyświetleniem go w HTML, np. poprzez kodowanie encji HTML lub użycie funkcji typu htmlspecialchars(). Zaleca się również aktualizację do najnowszej wersji systemu Guardian.
Oryginalny opis (angielski, źródło NVD)
Guardian language-system fails to sanitize the name GET parameter before outputting it into an HTML input value attribute in designer.php (line 57). An authenticated attacker can craft a URL containing script tags that execute in the victim's browser session.

