Katalog CVE

CVE-2026-40457

NiskieCVSS 2.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

W systemie LMS (LAN Management System) przed commit 9c5651b występuje podatność typu Reflected Cross-Site Scripting (XSS) w modułach 'dbrecover.php' i 'netremap.php', gdzie niesanitizowane parametry GET są bezpośrednio osadzane w wyjściu HTML. Umożliwia to atakującemu wstrzyknięcie dowolnego kodu JavaScript po kliknięciu w spreparowany link przez uwierzytelnionego użytkownika.

Ocena ryzyka

Podatność ta może prowadzić do przejęcia sesji użytkownika lub kradzieży danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację systemu LMS do najnowszej wersji oraz wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych, aby zapobiec wstrzyknięciom kodu.

Oryginalny opis (angielski, źródło NVD)

A Reflected Cross-Site Scripting (XSS) vulnerability exists in LMS (LAN Management System) before commit 9c5651b in the "dbrecover.php" and "netremap.php" modules where unsanitized GET parameters are directly embedded into HTML output. This allows an attacker to inject arbitrary JavaScript when an authenticated user clicks a crafted link, provided the required conditions (such as a network defined in the system) are met.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS