CVE-2026-56383
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Craft CMS zawiera podatność na przechowywane ataki XSS w komponencie editableTable.twig, gdy używany jest typ kolumny 'Row Heading'. Aplikacja nie sanitizuje danych wejściowych w domyślnych wartościach nagłówków wierszy, co pozwala atakującemu z kontem administratora na wstrzyknięcie dowolnego kodu JavaScript.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w przeglądarkach innych użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 4.16.19 lub 5.8.23, aby usunąć tę podatność oraz przeglądanie i ograniczenie uprawnień dla kont administratorów.
Oryginalny opis (angielski, źródło NVD)
Craft CMS contains a stored cross-site scripting (XSS) vulnerability in the editableTable.twig component when using the 'Row Heading' column type. The application fails to sanitize input within row heading default values, allowing an attacker with an administrator account (with allowAdminChanges enabled) to inject arbitrary JavaScript that executes when another user views a page containing the affected table field. Affected versions are >= 4.5.0-beta.1 through 4.16.18 and >= 5.0.0-RC1 through 5.8.22; fixed in 4.16.19 and 5.8.23.

