CVE-2026-41553

CERT.pl

🔴 Łataj teraz

Brak sanitizacji parametru "data" w module eksportu PDF DHTMLX umożliwia zdalne wykonanie kodu.

CVSS

10.0

EPSS

0.3%

Exploit

none

Vendor

dhtmlx

Opis źródłowy (NVD)

PDF Export Module used in DHTMLX's products Gantt and Scheduler is vulnerable to Remote Code Execution due to lack of "data" parameter sanitization. An unauthenticated attacker can inject the malicious JavaScript code to the parameter whose value is processed by Node.js and subsequently executed. This can lead to server compromise. This issue was fixed in PDF Export Module version 0.7.6.

Alert CERT.pl

Podatności w oprogramowaniu DHTMLX

https://cert.pl/posts/2026/05/CVE-2026-7182/

rce Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	10.0
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.3%
Opublikowano (NVD)	2026-05-15 13:16:19 UTC
Ostatnia modyfikacja (NVD)	2026-05-18 18:40:07 UTC

Referencje

https://cert.pl/en/posts/2026/05/CVE-2026-7182 (cvd@cert.pl) [Third Party Advisory]
https://docs.dhtmlx.com/gantt/guides/pdf-export-module-whatsnew/#076:~:text=Fixed%20Remote%20Code%20Execution%20and%20File%20Read%20vulnerabilities (cvd@cert.pl) [Release Notes]