CVE-2026-53987 in GLPI 11
Zusammenfassung
von VulDB • 09.07.2026
Das Tag-Plugin für GLPI 11 vor Version 2.14.4 speichert den Namen des Tags ohne HTML-Sanitization und rendert ihn über PluginTagTag::preKanbanContent() in das Kanban-Badge-Markup, ohne dass eine Output-Escaping erfolgt, was zu Stored Cross-Site Scripting (XSS) führt. Ein authentifizierter Benutzer mit Rechten zum Erstellen oder Aktualisieren von TAG MANAGEMENT kann einen Tag-Namen festlegen, der HTML enthält; dieser wird dann im Browser jedes Benutzers ausgeführt, der die Kanban-Ansicht eines Tickets, Problems, einer Änderung oder eines Projekts öffnet, an das das Tag angehängt ist.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.