CVE-2026-57958
⚪ Do wiadomości
Refleksywne XSS w Mixpost umożliwia atakującym wykonanie kodu JavaScript w przeglądarkach użytkowników.
CVSS
6.1
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
Mixpost through 2.6.0 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript in authenticated users' browsers by crafting malicious OAuth callback URLs with unsanitized error query parameters. Attackers can exploit the OAuth callback controller's failure to sanitize error parameters before rendering them through Laravel flash messages via the Vue v-html directive to hijack authenticated user sessions or perform unauthorized actions.
xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 6.1 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-06-29 18:16:41 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-29 19:16:42 UTC |
Referencje
- https://github.com/inovector/mixpost/issues/204 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/mixpost-reflected-xss-via-oauth-callback-error-parameter (disclosure@vulncheck.com)