CVE-2026-56785
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.
Ocena ryzyka
Atakujący mogą wykonać złośliwe skrypty w przeglądarkach użytkowników, w tym administratorów, co może prowadzić do kradzieży danych lub przejęcia sesji. Istnieje również ryzyko obejścia walidacji schematu URL, co umożliwia wstrzykiwanie URIs javascript: lub data:.
Rekomendacja
Zaleca się wprowadzenie odpowiedniego kodowania wyjściowego dla wszystkich danych wejściowych w formularzach oraz przegląd i aktualizację szablonów Smarty, aby zapobiec wstrzykiwaniu złośliwego kodu.
Oryginalny opis (angielski, źródło NVD)
FlatPress contains a stored cross-site scripting vulnerability in comment and contact forms where name, URL, and email fields are rendered without proper output encoding in Smarty templates. Attackers can inject arbitrary HTML and JavaScript through these fields to execute malicious scripts in browsers of viewers including administrators, or bypass URL scheme validation to inject javascript: or data: URIs.

