CVE-2026-48909
KrytyczneCVSS 9.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 — wyżej niż 52% wszystkich znanych CVE
Streszczenie
SP LMS (com_splms) w wersji poniżej 4.1.4 od JoomShaper deserializuje dane z ciasteczek kontrolowane przez użytkownika bez walidacji, co umożliwia nieautoryzowanemu zdalnemu atakującemu wykonanie dowolnego kodu na serwerze.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala atakującym na zdalne przejęcie kontroli nad serwerem.
Rekomendacja
Zaleca się aktualizację komponentu do wersji 4.1.4 lub nowszej oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed deserializacją danych z ciasteczek.
Oryginalny opis (angielski, źródło NVD)
SP LMS (com_splms) < 4.1.4 by JoomShaper deserializes user-controlled cookie data without validation, enabling an unauthenticated remote attacker to execute arbitrary code on the server.

