CVE-2026-44961
NieznaneCVSS 0.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w metodzie addUser API XML-RPC pozwala na obejście walidacji, co umożliwia tworzenie nazw użytkowników prowadzących do podszywania się lub ataków XSS. Problem został wprowadzony podczas łatania CVE-2025-55129.
Ocena ryzyka
Atakujący może podszyć się pod innego użytkownika lub przeprowadzić trwały atak XSS, co zagraża poufności i integralności danych oraz może prowadzić do przejęcia kont.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie do wersji zawierającej pełną walidację nazw użytkowników w metodzie addUser API XML-RPC.
Oryginalny opis (angielski, źródło NVD)
The XML‑RPC API addUser method has a validation bypass introduced in the fix for CVE‑2025‑55129. As a result, API users could create usernames that enabled impersonation or stored XSS attacks. Proper validation has been added where it was missing.

