CVE-2026-56381
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Craft CMS od wersji 5.0.0-RC1 zawiera podatność na przechowywane ataki typu cross-site scripting na stronie uprawnień użytkowników, gdzie nazwy grup użytkowników są renderowane bez odpowiedniego zabezpieczenia HTML. Atakujący z dostępem administratora mogą wstrzykiwać dowolny kod JavaScript przez pole nazwy grupy użytkowników, który wykonuje się, gdy inni użytkownicy przeglądają lub edytują uprawnienia.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w kontekście przeglądarki innych użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do uprawnień użytkowników.
Rekomendacja
Zaleca się aktualizację Craft CMS do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy ograniczyć dostęp do strony uprawnień użytkowników tylko dla zaufanych administratorów.
Oryginalny opis (angielski, źródło NVD)
Craft CMS from version 5.0.0-RC1 contains a stored cross-site scripting vulnerability in the User Permissions page where user group names are rendered without proper HTML escaping. Attackers with admin access can inject arbitrary JavaScript via the user group name field that executes when other users view or edit permissions.

