CVE-2026-28272
Kiteworks Email Protection Gateway has a Cross-site Scripting vulnerability
Em resumo
O Kiteworks Email Protection Gateway permite que administradores autenticados injetem scripts maliciosos que executam quando outros usuários acessam páginas específicas. Isso pode roubar dados ou realizar ações em nome deles.
Detalhe técnico
Vulnerabilidade de XSS armazenado na interface de configuração do Kiteworks Email Protection Gateway que requer privilégios de administrador autenticado. O JavaScript malicioso persiste na aplicação e é executado no navegador das vítimas durante interação com a interface, podendo resultar em roubo de sessão, comprometimento de credenciais ou ações não autorizadas. Afeta versões anteriores à 9.2.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks Email Protection Gateway allows authenticated administrators to inject malicious scripts through a configuration interface. The stored script executes when users interact with the affected user interface. Version 9.2.0 contains a patch for the issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
Produtos afetados
kiteworks · security-advisoriesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →