CVE-2026-38936
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
W aplikacji diskover-community w wersji 2.3.5 i wcześniejszych wykryto podatność na odbity atak XSS. Luka występuje w pliku public/selectindices.php poprzez parametr namecontains.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript, który zostanie wykonany w przeglądarce ofiary, co może prowadzić do kradzieży sesji, przejęcia konta lub wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować diskover-community do wersji nowszej niż 2.3.5, która zawiera poprawkę tej luki. Do czasu aktualizacji zaleca się walidację i sanityzację danych wejściowych w parametrze namecontains.
Oryginalny opis (angielski, źródło NVD)
A reflected cross-site scripting (XSS) vulnerability exists in diskover-community <= 2.3.5 in public/selectindices.php via the namecontains parameter

