Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu PluXml CMS i koordynował proces ujawniania informacji.

Podatność CVE-2026-24350: Oprogramowanie PluXml CMS jest podatne na ataki typu Stored XSS w funkcjonalności przesyłania plików. Uwierzytelniony atakujący może przesłać plik SVG zawierający złośliwy ładunek, który zostanie wykonany, gdy ofiara kliknie link powiązany z przesłanym obrazem. W wersji 5.9.0‑rc7 kliknięcie linku powiązanego z przesłanym obrazem nie wykonuje złośliwego kodu, ale bezpośredni dostęp do pliku nadal spowoduje wykonanie osadzonego payloadu.

Podatność CVE-2026-24351: Oprogramowanie PluXml CMS jest podatne na ataki typu Stored XSS w funkcjonalności edycji Static Pages. Atakujący posiadający uprawnienia do edycji może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania zmodyfikowanej strony.

Podatność CVE-2026-24352: PluXml CMS pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem. Wartość tego identyfikatora pozostaje taka sama po uwierzytelnieniu. Takie zachowanie umożliwia atakującemu ustawienie ofierze z góry wybranego identyfikatora sesji, a następnie przejęcie uwierzytelnionej sesji.

Producent został wcześniej poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersjach 5.8.21 oraz 5.9.0-rc7 - inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.