CVE-2026-31953 in xibo-cms
요약
\~에 의해 VulDB • 2026. 05. 26.
Xibo는 웹 콘텐츠 관리 시스템과 Windows 디스플레이 플레이어 소프트웨어를 갖춘 오픈 소스 디지털 사이니지 플랫폼입니다. 4.4.1 이전 버전의 Xibo에는 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재하며, 알림 생성 권한이 있는 인증된 사용자가 알림 본문에 임의의 JavaScript를 삽입할 수 있습니다. 알림이 "인터럽트"로 설정된 경우, 페이로드는 대상 사용자의 브라우저에서 로그인 시 자동으로 실행되며, 사용자의 추가 상호작용이 필요하지 않습니다. 이 취약점은 비관리자 사용자에게 기본적으로 부여되지 않는 다음 두 가지 권한을 모두 가진 인증된 사용자를 대신하여 악용될 수 있습니다: 과거 알림을 보기 위한 알림 센터 접근 권한과 새 알림 생성을 위한 '알림 추가' 버튼 포함 권한. 사용자는 이 문제를 해결한 버전 4.4.1로 업그레이드해야 합니다. 수정된 버전으로 업그레이드하는 것이 필수적이며, 업그레이드가 불가능한 경우 신뢰할 수 없는 사용자에게 해당 권한을 회수해야 합니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.