CVE-2026-41430
⚪ Do wiadomości
Wstrzyknięcie skryptu w Press umożliwia atak XSS na stronie logowania.
CVSS
6.1
EPSS
0.0%
Exploit
none
Vendor
frappe
Opis źródłowy (NVD)
Press, a Frappe custom app that runs Frappe Cloud, manages infrastructure, subscription, marketplace, and software-as-a-service (SaaS). Redirect parameter on login page is vulnerable to reflected XSS. The patch in commit 16d1b6ca2559f858a1de77bcb03fd7f1b81671c6 fixes the issue by restricting redirects to internal URLs only.
xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 6.1 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-24 04:16:21 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-30 14:51:51 UTC |
Referencje
- https://github.com/frappe/press/commit/16d1b6ca2559f858a1de77bcb03fd7f1b81671c6 (security-advisories@github.com) [Patch]
- https://github.com/frappe/press/security/advisories/GHSA-mpww-rq79-8r2c (security-advisories@github.com) [Vendor Advisory]