CVE-2026-56785
🟡 Monitoruj
W FlatPress występuje podatność na XSS w formularzach, co pozwala na wstrzyknięcie złośliwego kodu.
CVSS
8.2
EPSS
0.2%
Exploit
none
Vendor
Opis źródłowy (NVD)
FlatPress contains a stored cross-site scripting vulnerability in comment and contact forms where name, URL, and email fields are rendered without proper output encoding in Smarty templates. Attackers can inject arbitrary HTML and JavaScript through these fields to execute malicious scripts in browsers of viewers including administrators, or bypass URL scheme validation to inject javascript: or data: URIs.
xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.2% |
| Opublikowano (NVD) | 2026-06-23 23:16:50 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-25 19:25:34 UTC |
Referencje
- https://github.com/dilipk5/flatpressd-cms-sxss (disclosure@vulncheck.com)
- https://github.com/flatpressblog/flatpress/commit/10be83cbaac5ce0e51250b9d57de7f257b8f34f8 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/flatpress-stored-cross-site-scripting-via-unescaped-comment-and-contact-form-fields (disclosure@vulncheck.com)