Katalog CVE

CVE-2026-34096

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Podatność XSS w systemie językowym Guardian polega na braku sanityzacji parametru GET 'name' przed wyświetleniem go w atrybucie wartości pola HTML w pliku designer.php (linia 57). Uwierzytelniony atakujący może stworzyć URL zawierający znaczniki skryptów, które wykonają się w sesji przeglądarki ofiary.

Ocena ryzyka

Ryzyko polega na możliwości wykonania dowolnego kodu JavaScript w przeglądarce ofiary, co może prowadzić do kradzieży sesji, modyfikacji treści strony lub dalszych ataków na użytkowników systemu.

Rekomendacja

Należy zaimplementować odpowiednią sanityzację parametru 'name' przed wyświetleniem go w HTML, np. poprzez kodowanie encji HTML lub użycie funkcji typu htmlspecialchars(). Zaleca się również aktualizację do najnowszej wersji systemu Guardian.

Oryginalny opis (angielski, źródło NVD)

Guardian language-system fails to sanitize the name GET parameter before outputting it into an HTML input value attribute in designer.php (line 57). An authenticated attacker can craft a URL containing script tags that execute in the victim's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS