CVE-2026-38579
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
Wielokrotne podatności typu Cross-Site Scripting (XSS) w damasac thaipalliative_lte do wersji 3.0 umożliwiają zdalnym atakującym wstrzykiwanie dowolnych skryptów webowych lub HTML poprzez parametry idFormMain, id oraz ptid_key w pliku /substudy/ezform.php.
Ocena ryzyka
Atakujący mogą wykorzystać te podatności do przeprowadzenia ataków XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Rekomendacja
Zaleca się walidację i kodowanie danych wejściowych przed ich wyświetleniem w HTML oraz aktualizację do najnowszej wersji oprogramowania, aby usunąć te podatności.
Oryginalny opis (angielski, źródło NVD)
Multiple reflected Cross-Site Scripting (XSS) vulnerabilities in damasac thaipalliative_lte through version 3.0 allow remote attackers to inject arbitrary web script or HTML via the idFormMain parameter (line 24), the id parameter (lines 25, 75), and the ptid_key parameter (lines 26, 42) in /substudy/ezform.php. User input is echoed into HTML attributes and JavaScript contexts without encoding.

