Katalog CVE

CVE-2026-47348

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

Edytorzy z dostępem do tworzenia lub modyfikacji treści stron mogli wprowadzać znaczniki HTML w tytułach stron, które były przechowywane w indeksie wyszukiwania bez sanitizacji. W rezultacie, tytuły te były wyświetlane w wynikach wyszukiwania bez odpowiedniego kodowania, co prowadziło do podatności na Cross-Site Scripting.

Ocena ryzyka

Podatność ta może umożliwić atakującym wstrzykiwanie złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Organizacje powinny być świadome ryzyka związanego z bezpieczeństwem danych użytkowników.

Rekomendacja

Zaleca się aktualizację TYPO3 CMS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy sanitizacji i kodowania danych wyjściowych w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Editors with access to create or modify page content were able to include HTML markup in page titles that were stored in the search index without sanitization. When displayed in frontend search results via the Indexed Search plugin, these titles were rendered without proper output encoding, resulting in a Cross-Site Scripting vulnerability. This issue affects TYPO3 CMS versions 13.0.0-13.4.30 and 14.0.0-14.3.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS