Katalog CVE

CVE-2026-36460

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Oprogramowanie Dovestones Softwares ADPhonebook w wersji przed 4.0.1.1 jest podatne na atak typu Cross Site Scripting. API /Admin/Save pozwala uwierzytelnionemu użytkownikowi admin na przechowywanie złośliwych ładunków JavaScript w różnych sekcjach konfiguracyjnych bez odpowiedniej walidacji wejścia lub kodowania wyjścia.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu JavaScript, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.

Rekomendacja

Zaleca się aktualizację oprogramowania do wersji 4.0.1.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wdrożyć odpowiednie mechanizmy walidacji wejścia i kodowania wyjścia w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Dovestones Softwares ADPhonebook before v4.0.1.1 is vulnerable to a Cross Site Scripting vulnerability. The /Admin/Save API allows an authenticated admin user to store malicious JavaScript payloads in multiple configuration sections without proper input validation or output encoding.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS