Katalog CVE

CVE-2026-6954

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

Podatność Cross-Site Scripting (XSS) w WebControl CMS v3.5 firmy Intermark IT. Atakujący może wykonać kod JavaScript lub wstrzyknąć dynamiczny iframe w przeglądarce ofiary, wysyłając złośliwy URL przez parametr 'urlDestino' w '/portal.do'.

Ocena ryzyka

Ryzyko dla organizacji obejmuje kradzież wrażliwych danych użytkowników, takich jak ciasteczka sesyjne, wyświetlanie fałszywych interfejsów phishingowych lub wykonywanie działań w imieniu ofiary, co może prowadzić do naruszenia poufności i integralności systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację WebControl CMS do najnowszej wersji oraz zastosowanie walidacji i kodowania danych wejściowych dla parametru 'urlDestino', aby zapobiec wstrzykiwaniu skryptów.

Oryginalny opis (angielski, źródło NVD)

Cross-Site Scripting (XSS) vulnerability in Intermark IT's WebControl CMS v3.5. This vulnerability allows an attacker to execute JavaScript code or inject a dynamic iframe into the victim’s browser by sending a malicious URL via the 'urlDestino' parameter in '/portal.do'. This vulnerability can be exploited to steal sensitive user data, such as session cookies, display phishing interfaces, or perform actions on the user’s behalf.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS