CVE-2026-56393
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Craft CMS w wersjach 4.x (>= 4.0.0-RC1, < 4.17.0-beta.1) oraz 5.x (>= 5.0.0-RC1, < 5.9.0-beta.1) zawiera wiele podatności na przechowywane ataki typu cross-site scripting, gdzie nazwy ustawień i etykiety opcji pól są renderowane bez sanitizacji. Uwierzytelniony administrator może wstrzykiwać złośliwe ładunki do nazw sekcji, nazw woluminów, nazw grup użytkowników, nazw zestawów globalnych, generowanych nazw pól, etykiet opcji checkbox/radio oraz etykiet źródłowych, co prowadzi do wykonania dowolnego JavaScriptu w sesjach panelu kontrolnego innych użytkowników.
Ocena ryzyka
Atakujący może wykorzystać te podatności do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych lub przejęcia sesji innych użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.
Rekomendacja
Zaleca się aktualizację Craft CMS do wersji 4.17.0-beta.1 lub 5.9.0-beta.1, aby usunąć te podatności. Dodatkowo, należy przeprowadzić audyt bezpieczeństwa w celu zidentyfikowania potencjalnych wstrzyknięć złośliwego kodu.
Oryginalny opis (angielski, źródło NVD)
Craft CMS 4.x (>= 4.0.0-RC1, < 4.17.0-beta.1) and 5.x (>= 5.0.0-RC1, < 5.9.0-beta.1) contain multiple stored cross-site scripting vulnerabilities where settings names and field option labels are rendered without sanitization (e.g., via the checkbox.twig template, which used {{ label|raw }}). An authenticated administrator (with allowAdminChanges enabled) can inject malicious payloads into section names, volume names, user group names, global set names, generated field names, checkbox/radio option labels, and custom source labels, causing arbitrary JavaScript to execute in other users' control-panel sessions. Fixed in 4.17.0-beta.1 and 5.9.0-beta.1.

