Katalog CVE

CVE-2026-56785

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.

Ocena ryzyka

Atakujący mogą wykonać złośliwe skrypty w przeglądarkach użytkowników, w tym administratorów, co może prowadzić do kradzieży danych lub przejęcia sesji. Istnieje również ryzyko obejścia walidacji schematu URL, co umożliwia wstrzykiwanie URIs javascript: lub data:.

Rekomendacja

Zaleca się wprowadzenie odpowiedniego kodowania wyjściowego dla wszystkich danych wejściowych w formularzach oraz przegląd i aktualizację szablonów Smarty, aby zapobiec wstrzykiwaniu złośliwego kodu.

Oryginalny opis (angielski, źródło NVD)

FlatPress contains a stored cross-site scripting vulnerability in comment and contact forms where name, URL, and email fields are rendered without proper output encoding in Smarty templates. Attackers can inject arbitrary HTML and JavaScript through these fields to execute malicious scripts in browsers of viewers including administrators, or bypass URL scheme validation to inject javascript: or data: URIs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS