Katalog CVE

CVE-2026-50766

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwałe cross-site scripting (XSS) na stronie szczegółów egzemplarza w module OPAC. Uwierzytelniony atakujący z uprawnieniami edit_items może wstrzyknąć dowolny kod JavaScript poprzez pole publicznych notatek egzemplarza (items.itemnotes).

Ocena ryzyka

Atakujący może wykraść sesje użytkowników, przekierować ich na złośliwe strony lub wykraść dane biblioteczne, co zagraża poufności i integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować system Koha do wersji 25.11.xx lub nowszej, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji należy ograniczyć uprawnienia edit_items tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A stored cross-site scripting (XSS) vulnerability in the OPAC item detail page of Koha Library Management System 0 through 25.11 versions allow an authenticated remote attacker with edit_items permission to inject arbitrary web scripts via the item public notes field (items.itemnotes).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS