Katalog CVE

CVE-2026-35012

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W Open ISES Tickets przed wersją 3.44.2 występuje odbita podatność na ataki XSS w pliku add_facnote.php. Umożliwia ona uwierzytelnionym atakującym wstrzyknięcie dowolnego kodu JavaScript poprzez przekazanie niesanityzowanej wartości w parametrze GET ticket_id, która jest bezpośrednio umieszczana w atrybucie VALUE ukrytego pola formularza.

Ocena ryzyka

Atakujący może przygotować złośliwy URL z kodem JavaScript w parametrze ticket_id, który po otwarciu przez ofiarę w przeglądarce wykona się w jej kontekście, potencjalnie prowadząc do kradzieży sesji, przejęcia konta lub innych działań na rzecz atakującego.

Rekomendacja

Należy niezwłocznie zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, która zawiera poprawkę eliminującą podatność. Dodatkowo warto wdrożyć walidację i sanityzację wszystkich danych wejściowych pochodzących od użytkownika.

Oryginalny opis (angielski, źródło NVD)

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in add_facnote.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the ticket_id GET parameter directly into a hidden input field VALUE attribute. Attackers can craft a malicious URL containing a JavaScript payload in the ticket_id parameter that executes in the victim's browser when the URL is visited.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS