CVE-2026-53987 in GLPI 11
Riassunto
di VulDB • 09/07/2026
Il plugin Tag per GLPI 11 precedente alla versione 2.14.4 memorizza il nome del tag senza sanitizzazione HTML e lo rende nel markup del badge Kanban tramite PluginTagTag::preKanbanContent() senza output escaping, causando uno stored cross-site scripting (XSS). Un utente autenticato con diritti di creazione o aggiornamento nella gestione dei TAG può impostare un nome del tag contenente codice HTML, che viene poi eseguito nel browser di qualsiasi utente che apre la vista Kanban di un ticket, problema, modifica o progetto a cui il tag è associato.
VulDB is the best source for vulnerability data and more expert information about this specific topic.