Live
* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?* Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API* GitHub Internal Repositories Breached via Malicious Nx Console VS Code Extension* Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks* 9-Year-Old Linux Kernel Flaw Enables Root Command Execution on Major Distros* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?* Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API* GitHub Internal Repositories Breached via Malicious Nx Console VS Code Extension* Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks* 9-Year-Old Linux Kernel Flaw Enables Root Command Execution on Major Distros
CVE-2026-5783 High 21. Mai 2026 CVSS 7.6/10

🟠 CVE-2026-5783: High Schwachstelle

CVE-2026-5783
7.6/10
High
Nein
Various
Network
NVD Quelle

„`html

Zusammenfassung

In der CityPLus-Software der Beyaz Computer Software Design Industry and Trade Ltd. Co. wurde eine Reflected Cross-Site-Scripting-Lücke (XSS) entdeckt. Die Schwachstelle ermöglicht es Angreifern, beliebige JavaScript-Code in den Browser eines Benutzers einzuschleusen, indem manipulierte Links oder Formulare verwendet werden. Dies führt zu potenziellen Datendiebstählen und Sessionübernahmen.

Betroffene Systeme

Betroffen sind alle Versionen von CityPLus vor V24.29750.1.0. Das Produkt wird in verschiedenen Organisationen für Verwaltungs- und Geschäftsprozesse eingesetzt. Benutzer sollten ihre Versionsnummern überprüfen und entsprechend handeln.

Technische Details

Die Sicherheitslücke liegt in unzureichender Filterung von Benutzereingaben während der Web-Page-Generierung. Ein Angreifer kann speziell crafted URLs mit JavaScript-Payloads erstellen. Wird die URL von einem Benutzer aufgerufen, wird der Schadcode direkt im Browser ausgeführt, ohne auf dem Server gespeichert zu werden (Reflected XSS).

Der Angriffsvektor ist netzwerkbasiert und erfordert Social Engineering, um Opfer zum Klicken auf malicious Links zu bewegen. Potenziell betroffene Parameter sind GET-basierte Eingabefelder, die unvalidiert in die HTML-Seite zurückgeschrieben werden.

Empfohlene Massnahmen

Sofortmassnahmen: Ein offizieller Patch ist derzeit nicht verfügbar. Als Workaround wird empfohlen, Web-Application-Firewalls (WAF) zu konfigurieren, die verdächtige Zeichenketten in URLs blockieren. Input-Validierung auf Client- und Server-Seite verschärfen.

Monitoring: Überprüfen Sie Webserver-Logs auf verdächtige URL-Parameter mit JavaScript-Keywords (script, onerror, onload). Implementieren Sie Content-Security-Policy (CSP)-Header, um Inline-Script-Ausführung zu unterbinden.

Langfristig: Warten Sie auf ein offizielles Security-Update von Beyaz Computer. Kontaktieren Sie den Hersteller für nähere Informationen zur Patch-Verfügbarkeit.

Bewertung

Mit einem CVSS-Score von 7.6 ist diese Lücke von hoher Priorität. Das Fehlen eines Patches erhöht das Risiko erheblich. Unternehmen sollten sofortige Gegenmassnahmen einleiten und betroffene Systeme einer regelmäßigen Sicherheitsüberwachung unterziehen, bis ein Update verfügbar ist.

„`

Automatisch aggregiert von HuntingThreats am 21.05.2026
Alle CVEs ansehen