CVE-2026-41472
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 - wyżej niż 40% wszystkich znanych CVE
Streszczenie
CyberPanel w wersjach przed 2.4.4 zawiera podatność na trwałe XSS w panelu AI Scanner. Brak autoryzacji w endpointcie POST /api/ai-scanner/callback pozwala nieuwierzytelnionym atakującym wstrzyknąć złośliwy JavaScript przez nadpisanie pola findings_json rekordów ScanHistory.
Ocena ryzyka
Atakujący może przejąć sesję administratora, wykonując skrypt w jego kontekście, co umożliwia zdalne wykonanie kodu na serwerze poprzez tworzenie zadań cron.
Rekomendacja
Niezwłocznie zaktualizuj CyberPanel do wersji 2.4.4 lub nowszej. Ogranicz dostęp do endpointu /api/ai-scanner/callback tylko dla uwierzytelnionych administratorów.
Oryginalny opis (angielski, źródło NVD)
CyberPanel versions prior to 2.4.4 contain a stored cross-site scripting vulnerability in the AI Scanner dashboard where the POST /api/ai-scanner/callback endpoint lacks authentication and allows unauthenticated attackers to inject malicious JavaScript by overwriting the findings_json field of ScanHistory records. Attackers can inject JavaScript that executes in an administrator's authenticated session when they visit the AI Scanner dashboard, allowing them to issue same-origin requests to plant cron jobs and achieve remote code execution on the server.

