Katalog CVE

CVE-2026-38579

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.08%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

Wielokrotne podatności typu Cross-Site Scripting (XSS) w damasac thaipalliative_lte do wersji 3.0 umożliwiają zdalnym atakującym wstrzykiwanie dowolnych skryptów webowych lub HTML poprzez parametry idFormMain, id oraz ptid_key w pliku /substudy/ezform.php.

Ocena ryzyka

Atakujący mogą wykorzystać te podatności do przeprowadzenia ataków XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.

Rekomendacja

Zaleca się walidację i kodowanie danych wejściowych przed ich wyświetleniem w HTML oraz aktualizację do najnowszej wersji oprogramowania, aby usunąć te podatności.

Oryginalny opis (angielski, źródło NVD)

Multiple reflected Cross-Site Scripting (XSS) vulnerabilities in damasac thaipalliative_lte through version 3.0 allow remote attackers to inject arbitrary web script or HTML via the idFormMain parameter (line 24), the id parameter (lines 25, 75), and the ptid_key parameter (lines 26, 42) in /substudy/ezform.php. User input is echoed into HTML attributes and JavaScript contexts without encoding.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS