CVE-2026-1493: XSS dans LEX Baza Dokumentów

L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par les utilisateurs de LEX Baza Dokumentów. Bien que l'impact soit considéré comme minimal, car l'attaquant doit pouvoir modifier un cookie, cela peut néanmoins conduire à l'usurpation d'identité, au vol de données sensibles (informations de session, données personnelles) ou à la redirection vers des sites web malveillants. L'attaquant pourrait également utiliser cette vulnérabilité pour effectuer des attaques de phishing ciblées, en affichant des formulaires de connexion falsifiés afin de voler les identifiants des utilisateurs. La capacité à manipuler un cookie augmente la sévérité potentielle, permettant des actions plus sophistiquées.

1. Publiée2026-04-30
2. EPSS mis à jour2026-05-07

La mitigation principale consiste à mettre à jour LEX Baza Dokumentów vers la version 1.3.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les mesures de sécurité existantes. Il est possible de mettre en place des règles de filtrage côté serveur (WAF) pour bloquer les requêtes contenant des scripts potentiellement malveillants dans le paramètre "em" du cookie. De plus, une validation stricte des entrées utilisateur, en particulier des données provenant de cookies, est essentielle pour prévenir les attaques XSS. Vérifiez après la mise à jour que la vulnérabilité est bien corrigée en testant l'application avec des charges utiles XSS simples.