CVE-2026-50767
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwały atak XSS. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole komunikatu przy odbiorze typu egzemplarza.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarkach innych administratorów, prowadząc do kradzieży sesji, modyfikacji danych lub dalszej eskalacji ataku w systemie bibliotecznym.
Rekomendacja
Należy natychmiast zaktualizować system Koha do wersji nowszej niż 25.11, która zawiera poprawkę usuwającą podatność. Dodatkowo warto ograniczyć uprawnienia administratorów i stosować filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A stored cross-site scripting (XSS) vulnerability in the item type administration page of Koha Library Management System 0 through 25.11 versions allow an authenticated remote attacker with administrator privileges to inject arbitrary web scripts via the item type check-in message field (checkinmsg).

