CVE-2026-35011
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
W Open ISES Tickets przed wersją 3.44.2 występuje odbita podatność na atak XSS w pliku opena.php. Umożliwia ona uwierzytelnionym atakującym wstrzyknięcie dowolnego kodu JavaScript poprzez niesanitizowany parametr frm_call GET, który jest bezpośrednio wyświetlany na stronie.
Ocena ryzyka
Ryzyko polega na możliwości wykonania złośliwego skryptu w przeglądarce ofiary, co może prowadzić do kradzieży sesji, przejęcia konta lub wycieku danych wrażliwych w organizacji.
Rekomendacja
Należy natychmiast zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo zaleca się walidację i sanityzację wszystkich danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in opena.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the frm_call GET parameter directly into page output. Attackers can craft a malicious URL containing a JavaScript payload in the frm_call parameter that executes in the victim's browser when the URL is visited.

