Vulnerabilities ›

CVE-2026-24350

Medium

CWE-79 — Weakness Type

                    Published: Feb 27, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

PluXml CMS is vulnerable to Stored XSS in file uploading functionality. An authenticated attacker can upload an SVG file containing a malicious payload, which will be executed when a victim clicks the link associated with the uploaded image.
In version 5.9.0-rc7 clicking the link associated with the uploaded image doesn't execute malicious code but directly accessing the file will still execute the embedded payload.

The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 5.8.21 and 5.9.0-rc7 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.

🤖 AI Executive Summary

PluXml CMS contains a Stored XSS vulnerability in its file upload functionality that allows authenticated attackers to upload malicious SVG files. When victims access the uploaded files directly, the embedded payload executes in their browsers, potentially compromising their sessions and data.

📄 Description (Arabic)

ثغرة Stored XSS في نظام إدارة المحتوى PluXml تسمح للمهاجمين المصرحين بتحميل ملفات SVG تحتوي على رموز ضارة. عند الوصول المباشر إلى الملفات المرفوعة، يتم تنفيذ الحمولة الضارة في متصفح الضحية. تم تأكيد الثغرة في الإصدارات 5.8.21 و 5.9.0-rc7 ولم يتم اختبار الإصدارات الأخرى.

🤖 ملخص تنفيذي (AI)

نظام إدارة المحتوى PluXml يحتوي على ثغرة Stored XSS في وظيفة تحميل الملفات تسمح للمهاجمين المصرحين بتحميل ملفات SVG ضارة. عند وصول الضحايا إلى الملفات المرفوعة مباشرة، يتم تنفيذ الحمولة المضمنة في متصفحاتهم.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 04:50

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1204

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update PluXml CMS to a patched version beyond 5.9.0-rc7 when available. Implement strict file upload validation to reject SVG files or sanitize SVG content. Configure web server to serve uploaded files with appropriate Content-Type headers and Content-Disposition: attachment. Restrict file access permissions and monitor uploaded file directories. Educate users about risks of accessing files from untrusted sources.

🔧 خطوات المعالجة (العربية)

قم بتحديث نظام PluXml CMS إلى نسخة مصححة بعد 5.9.0-rc7 عند توفرها. قم بتطبيق التحقق الصارم من تحميل الملفات لرفض ملفات SVG أو تنظيف محتواها. قم بتكوين خادم الويب لتقديم الملفات المرفوعة برؤوس Content-Type مناسبة و Content-Disposition: attachment. قيد أذونات الوصول إلى الملفات ومراقبة دلائل الملفات المرفوعة. علم المستخدمين بمخاطر الوصول إلى الملفات من مصادر غير موثوقة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

7.1 7.2 8.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 2

🔗

https://cert.pl/posts/2026/03/CVE-2026-24350

🔗

📦 Affected Products / CPE 2 entries

pluxml:pluxml:5.8.9

pluxml:pluxml:5.8.21

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-02-27

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-24350

💬 Comments

Introduce Yourself

Sign In Required