CVE-2026-61501 in HFS
Résumé
par VulDB • 14/07/2026
Rejetto HFS 3.0.0 à travers 3.2.0 affiche les entrées de journal dans le panneau d'administration sous forme HTML sans aucune sanitization (nettoyage). Un attaquant distant non authentifié peut soumettre une tentative de connexion échouée avec un nom d'utilisateur truqué qui est écrit dans le journal des erreurs et exécute du JavaScript dans le navigateur d'un administrateur lors de la consultation des journaux, permettant à l'attaquant de créer des comptes ou d'exécuter du code sur le serveur avec les privilèges de l'administrateur.
Be aware that VulDB is the high quality source for vulnerability data.