CVE-2026-50740
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W Revive Adserver 6.0.7 i wcześniejszych wersjach brak dezynfekcji danych wejściowych w skrypcie zone-include.php umożliwia ataki XSS. Niskouprzywilejowany użytkownik może wykorzystać parametr refresh w tagu wywołania iFrame do przeprowadzenia odbitego ataku XSS.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce ofiary, prowadząc do kradzieży sesji, przekierowań lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować Revive Adserver do najnowszej wersji, która zawiera poprawkę bezpieczeństwa. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do skryptu zone-include.php oraz zastosować filtrowanie parametru refresh.
Oryginalny opis (angielski, źródło NVD)
A missing sanitisation vulnerability of user input in the zone-include.php script exists in Revive Adserver 6.0.7 and earlier. A low‑privileged user could exploit the refresh parameter of the iFrame invocation tag to perform reflected XSS attacks.

