Katalog CVE

CVE-2026-41472

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 40 - wyżej niż 40% wszystkich znanych CVE

Streszczenie

CyberPanel w wersjach przed 2.4.4 zawiera podatność na trwałe XSS w panelu AI Scanner. Brak autoryzacji w endpointcie POST /api/ai-scanner/callback pozwala nieuwierzytelnionym atakującym wstrzyknąć złośliwy JavaScript przez nadpisanie pola findings_json rekordów ScanHistory.

Ocena ryzyka

Atakujący może przejąć sesję administratora, wykonując skrypt w jego kontekście, co umożliwia zdalne wykonanie kodu na serwerze poprzez tworzenie zadań cron.

Rekomendacja

Niezwłocznie zaktualizuj CyberPanel do wersji 2.4.4 lub nowszej. Ogranicz dostęp do endpointu /api/ai-scanner/callback tylko dla uwierzytelnionych administratorów.

Oryginalny opis (angielski, źródło NVD)

CyberPanel versions prior to 2.4.4 contain a stored cross-site scripting vulnerability in the AI Scanner dashboard where the POST /api/ai-scanner/callback endpoint lacks authentication and allows unauthenticated attackers to inject malicious JavaScript by overwriting the findings_json field of ScanHistory records. Attackers can inject JavaScript that executes in an administrator's authenticated session when they visit the AI Scanner dashboard, allowing them to issue same-origin requests to plant cron jobs and achieve remote code execution on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS