Katalog CVE

CVE-2026-54263

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W Wagtail, systemie zarządzania treścią opartym na Django, w wersjach przed 7.0.8, 7.3.3 i 7.4.2 występuje podatność na odbity XSS w widoku dynamicznego generatora URL obrazów w panelu administracyjnym. Użytkownik z ograniczonymi uprawnieniami edytora może przygotować złośliwy URL, który po otwarciu przez administratora wykona działania w jego imieniu.

Ocena ryzyka

Ryzyko polega na eskalacji uprawnień – atakujący z niskimi uprawnieniami może przejąć kontrolę nad kontem administratora, co prowadzi do nieautoryzowanego dostępu do danych i modyfikacji treści.

Rekomendacja

Należy niezwłocznie zaktualizować Wagtail do wersji 7.0.8, 7.3.3 lub 7.4.2. Ograniczenie dostępu do panelu administracyjnego tylko dla zaufanych użytkowników zmniejsza ryzyko eksploatacji.

Oryginalny opis (angielski, źródło NVD)

Wagtail is an open source content management system built on Django. In versions prior to 7.0.8, 7.3.3 and 7.4.2, reflected cross-site scripting (XSS) vulnerability exists on the dynamic image URL generator view within the Wagtail admin interface. A user with a limited-permission editor account for the Wagtail admin could craft a URL that, when viewed by a user with higher privileges, could perform actions with that user's credentials. The vulnerability is present for all sites, even if they do not enable the dynamic image serve view. The vulnerability is not exploitable by an ordinary site visitor without access to the Wagtail admin. This issue has been fixed in versions 7.0.8, 7.3.3, and 7.4.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS