Katalog CVE

CVE-2026-4929

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).

Ocena ryzyka

Złośliwe nazwy terminów taksonomii mogą być renderowane w sposób niebezpieczny, co stwarza ryzyko wykonania nieautoryzowanego kodu w kontekście użytkownika. To może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Simple Hierarchical Select, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt kodu w celu zapewnienia odpowiedniego escapowania danych wyjściowych.

Oryginalny opis (angielski, źródło NVD)

Simple Hierarchical Select (SHS) for Drupal 7 contains cross-site scripting risk due to improper output escaping of term-derived text. Confirmed affected paths include field formatter output (shs_field_formatter_view) and term-tree child-term data generation (shs_term_get_children). Malicious taxonomy term names can be rendered unsafely depending on output context. This affects versions from 7.x-1.0 through (and including) 7.x-1.10.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS