CVE-2026-6954
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Podatność Cross-Site Scripting (XSS) w WebControl CMS v3.5 firmy Intermark IT. Atakujący może wykonać kod JavaScript lub wstrzyknąć dynamiczny iframe w przeglądarce ofiary, wysyłając złośliwy URL przez parametr 'urlDestino' w '/portal.do'.
Ocena ryzyka
Ryzyko dla organizacji obejmuje kradzież wrażliwych danych użytkowników, takich jak ciasteczka sesyjne, wyświetlanie fałszywych interfejsów phishingowych lub wykonywanie działań w imieniu ofiary, co może prowadzić do naruszenia poufności i integralności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację WebControl CMS do najnowszej wersji oraz zastosowanie walidacji i kodowania danych wejściowych dla parametru 'urlDestino', aby zapobiec wstrzykiwaniu skryptów.
Oryginalny opis (angielski, źródło NVD)
Cross-Site Scripting (XSS) vulnerability in Intermark IT's WebControl CMS v3.5. This vulnerability allows an attacker to execute JavaScript code or inject a dynamic iframe into the victim’s browser by sending a malicious URL via the 'urlDestino' parameter in '/portal.do'. This vulnerability can be exploited to steal sensitive user data, such as session cookies, display phishing interfaces, or perform actions on the user’s behalf.

