CVE-2026-31953 in xibo-cmsالمعلومات

الملخص

بحسب VulDB • 16/05/2026

Xibo هو منصة إشارات رقمية مفتوحة المصدر تتضمن نظام إدارة محتوى الويب وبرامج مشغّل العرض لنظام التشغيل Windows. تتيح ثغرة تخزين البرمجة النصية عبر المواقع (Stored XSS) الموجودة في الإصدارات السابقة لـ 4.4.1 لمستخدم مُصادق عليه يمتلك أذونات إنشاء الإشعارات حقن كود JavaScript تعسفي داخل جسم الإشعار. عند ضبط الإشعار كـ "إشعار متقطع" (interrupt)، يتم تنفيذ الحمولة البرمجية تلقائياً في متصفح أي مستهدف عند تسجيل الدخول، دون الحاجة إلى أي تفاعل من المستخدم. يمكن استغلال الثغرة نيابة عن مستخدم مُصرّح له يمتلك كلتا الصلاحيات التاليتين، اللتين لا تُمنحان للمستخدمين غير الإداريين بشكل افتراضي: الوصول إلى مركز الإشعارات لعرض الإشعارات السابقة، وإدراج زر "إضافة إشعار" للسماح بإنشاء إشعارات جديدة. يجب على المستخدمين الترقية إلى الإصدار 4.4.1 الذي يصلح هذه المشكلة. إن الترقية إلى إصدار مُصلّح ضرورية للتصحيح. ويجب على المستخدمين غير القادرين على الترقية سحب هذه الصلاحيات من المستخدمين الذين لا يثقون بهم.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

10/03/2026

إفشاء

24/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359275

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

6.4 (CNA)

EPSS

0.00029

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Lawfirm, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31953
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31953
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31953/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!