ZSA-2026-09

Date: 2026-05-27
Affected: Alle Versionen von Znuny LTS von 6.5.1 bis einschließlich 6.5.20.
Alle Versionen von Znuny von 7.3.1 bis einschließlich 7.3.2.
Alle Versionen von Znuny 6.0, 6.1, 6.2, 6.3, 6.4, 7.0, 7.1 und 7.2.
Severity: medium
CVE: CVE-2025-59490

Die Korrektur der als ZSA-2026-02 (CVE-2025-59490) veröffentlichten Reflected Cross-Site Scripting (XSS)-Schwachstelle war unvollständig. Die Bereinigung konnte durch die Verwendung verschleierter (obfuskierter) Script-Tags umgangen werden, wodurch Angreifer erneut beliebiges JavaScript über ungefilterte, in die Antwort zurückgegebene URL-Parameter einschleusen konnten. Wird eine präparierte, bösartige URL an ein Opfer übermittelt (z. B. per Phishing oder Social Engineering) und von diesem aufgerufen, wird der Schadcode im Browser des Opfers innerhalb des Sicherheitskontexts seiner Sitzung ausgeführt.

Diese Folgekorrektur vervollständigt die ursprünglich in Znuny LTS 6.5.19 und Znuny 7.3.1 eingeführte Behebung.

Behoben in: Znuny LTS 6.5.21 und Znuny 7.3.3