Katalog CVE

CVE-2026-48940

NiskieCVSS 3.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Użytkownik Joomla z uprawnieniami K2 do tworzenia elementów (domyślnie rola Autora) może przesłać artykuł, w którym pole POST `embedVideo` zawiera surowy znacznik `<script>`. K2 przechowuje go dosłownie i wyświetla bez kodowania każdemu odwiedzającemu stronę artykułu.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarkach odwiedzających, prowadząc do kradzieży sesji, przekierowań na złośliwe strony lub kradzieży danych.

Rekomendacja

Należy natychmiast zaktualizować rozszerzenie K2 do najnowszej wersji, która zawiera poprawkę usuwającą podatność na XSS. Do czasu aktualizacji należy ograniczyć uprawnienia do tworzenia artykułów tylko zaufanym użytkownikom.

Oryginalny opis (angielski, źródło NVD)

A Joomla user with K2 "create item" rights (Author tier by default) can submit an article whose `embedVideo` POST field contains a raw `<script>` tag; K2 stores it verbatim and renders it unescaped to any visitor of the article page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS