VDB-367674 · Отправить #829316 · CVE-2026-10567

1Panel-dev CordysCRM до 1.4.1 ModuleFormController ModuleFormService.java save Описание межсайтовый скриптинг

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
3.2	$0-$5k	0.74

СводкаИнформация

Уязвимость была найдена в 1Panel-dev CordysCRM до 1.4.1. Она была объявлена как проблематичный. Неизвестная функция файла src/main/java/cn/cordys/crm/system/service/ModuleFormService.java компонента ModuleFormController вовлечена. Выполнение манипуляции с аргументом Описание приводит к межсайтовый скриптинг. Выявление этой уязвимости является CVE-2026-10567. Атака может быть инициирована удаленно. Также существует доступный эксплойт. Рекомендуется провести обновление затронутого компонента.

ПодробностиИнформация

Уязвимость была найдена в 1Panel-dev CordysCRM до 1.4.1. Она была объявлена как проблематичный. Неизвестная функция файла src/main/java/cn/cordys/crm/system/service/ModuleFormService.java компонента ModuleFormController вовлечена. Выполнение манипуляции с аргументом Описание приводит к межсайтовый скриптинг. Указание проблемы через CWE ведет к CWE-79. Данная уязвимость была опубликована с идентификатором 2233. Консультацию можно прочитать на сайте github.com.

Выявление этой уязвимости является CVE-2026-10567. Атака может быть инициирована удаленно. Техническая информация предоставлена. Данная уязвимость менее популярна, чем в среднем. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK определяет технику атаки как T1059.007.

Задано как Доказательство концепции. Эксплойт доступен для загрузки по адресу github.com. .

Обновление до версии 1.7.0 способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Патч называется c87682afa8df79853299f75489c9d333f7bc5fce. Исправление готово для загрузки по адресу github.com. Рекомендуется провести обновление затронутого компонента.

ПродуктИнформация

Поставщик

1Panel-dev

Имя

CordysCRM

Версия

Лицензия

Открытый исходный код

Веб-сайт

Продукт: https://github.com/1Panel-dev/CordysCRM/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 3.5
VulDB Meta Temp Score: 3.2

VulDB Базовый балл: 3.5
VulDB Временная оценка: 3.2
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔒

Обновление: CordysCRM 1.7.0
Патч: c87682afa8df79853299f75489c9d333f7bc5fce

ХронологияИнформация

01.06.2026 Консультация опубликована
01.06.2026 +0 дни Запись VulDB создана
01.06.2026 +0 дни Последнее обновление VulDB

ИсточникиИнформация

Продукт: github.com

Консультация: 2233
Статус: Подтверждённый
Подтверждение: 🔒

CVE: CVE-2026-10567 (🔒)
GCVE (CVE): GCVE-0-2026-10567
GCVE (VulDB): GCVE-100-367674
scip Labs: https://www.scip.ch/en/?labs.20161013