Katalog CVE

CVE-2026-56383

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Craft CMS zawiera podatność na przechowywane ataki XSS w komponencie editableTable.twig, gdy używany jest typ kolumny 'Row Heading'. Aplikacja nie sanitizuje danych wejściowych w domyślnych wartościach nagłówków wierszy, co pozwala atakującemu z kontem administratora na wstrzyknięcie dowolnego kodu JavaScript.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w przeglądarkach innych użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 4.16.19 lub 5.8.23, aby usunąć tę podatność oraz przeglądanie i ograniczenie uprawnień dla kont administratorów.

Oryginalny opis (angielski, źródło NVD)

Craft CMS contains a stored cross-site scripting (XSS) vulnerability in the editableTable.twig component when using the 'Row Heading' column type. The application fails to sanitize input within row heading default values, allowing an attacker with an administrator account (with allowAdminChanges enabled) to inject arbitrary JavaScript that executes when another user views a page containing the affected table field. Affected versions are >= 4.5.0-beta.1 through 4.16.18 and >= 5.0.0-RC1 through 5.8.22; fixed in 4.16.19 and 5.8.23.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS