CVE-2026-9591
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W kontrolerze NewsItemApiController w SimplCommerce przed commit 6233d73e występuje podatność na atak typu cross-site request forgery (CSRF), która pozwala nieautoryzowanemu zdalnemu atakującemu na tworzenie lub modyfikowanie elementów wiadomości jako administratora poprzez przesłanie spreparowanego formularza do `/api/news-items`, z powodu braku ochrony przed CSRF.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanych zmian w treści wiadomości, co może wpłynąć na reputację organizacji oraz zaufanie użytkowników.
Rekomendacja
Zaleca się wprowadzenie ochrony przed CSRF w aplikacji oraz aktualizację do najnowszej wersji SimplCommerce, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
Cross-site request forgery (CSRF) in NewsItemApiController in SimplCommerce prior to commit 6233d73e allows an unauthenticated remote attacker to create or modify news items as an administrator via a crafted form submitted to `/api/news-items`, due to missing anti-CSRF protection.

