ZSA-2026-10

Date: 2026-05-27
Affected: Alle Versionen von Znuny LTS von 6.5.1 bis einschließlich 6.5.20.
Alle Versionen von Znuny von 7.3.1 bis einschließlich 7.3.2.
Alle Versionen von Znuny 6.0, 6.1, 6.2, 6.3, 6.4, 7.0, 7.1 und 7.2.
Severity: medium
CVE: Not requested

In der Admin-Ansicht des Kommunikationsprotokolls (AdminCommunicationLog) besteht eine Reflected Cross-Site Scripting (XSS)-Schwachstelle. URL-Parameter wurden ohne ordnungsgemäße Maskierung in die Seitenausgabe übernommen, wodurch ein Angreifer über eine präparierte URL beliebiges JavaScript einschleusen konnte. Wird die präparierte URL von einem angemeldeten Administrator aufgerufen, wird der Schadcode im Browser des Opfers innerhalb des Sicherheitskontexts seiner Sitzung ausgeführt.

Behoben in: Znuny LTS 6.5.21 und Znuny 7.3.3