Vulnerabilities ›

CVE-2026-24351

Medium

CWE-79 — Weakness Type

                    Published: Feb 27, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

PluXml CMS is vulnerable to Stored XSS in Static Pages editing functionality. Attacker with editing privileges can inject arbitrary HTML and JS into website, which will be rendered/executed when visiting edited page.

The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 5.8.21 and 5.9.0-rc7 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.

🤖 AI Executive Summary

PluXml CMS contains a Stored XSS vulnerability in Static Pages editing functionality that allows authenticated users with editing privileges to inject arbitrary HTML and JavaScript code. The injected malicious code executes when other users visit the compromised pages, potentially leading to session hijacking, credential theft, or malware distribution.

📄 Description (Arabic)

ثغرة XSS مخزنة في نظام إدارة محتوى PluXml تسمح للمستخدمين ذوي صلاحيات التحرير بحقن أكواد HTML و JavaScript ضارة في الصفحات الثابتة. عند زيارة أي مستخدم للصفحة المصابة، يتم تنفيذ الكود الضار في متصفحه، مما قد يؤدي إلى سرقة الجلسات أو بيانات المستخدم. تم اختبار الإصدارات 5.8.21 و 5.9.0-rc7 وتأكيد إصابتهما، بينما قد تكون نسخ أخرى عرضة للخطر أيضاً.

🤖 ملخص تنفيذي (AI)

نظام إدارة المحتوى PluXml يحتوي على ثغرة XSS مخزنة في وظيفة تحرير الصفحات الثابتة تسمح للمستخدمين المصرح لهم بحقن أكواد HTML و JavaScript عشوائية. يتم تنفيذ الأكواد الضارة المحقونة عند زيارة المستخدمين الآخرين للصفحات المخترقة.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 04:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom

🎯 MITRE ATT&CK Techniques

T1190 T1598 T1566

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update PluXml CMS to a patched version beyond 5.9.0-rc7 when available. Implement strict input validation and output encoding for all user-supplied content in page editing functionality. Apply Content Security Policy (CSP) headers to prevent inline script execution. Restrict page editing privileges to trusted administrators only. Conduct security code review of the Static Pages module.

🔧 خطوات المعالجة (العربية)

قم بتحديث نظام PluXml CMS إلى إصدار مصحح بعد 5.9.0-rc7 عند توفره. طبق التحقق الصارم من المدخلات وترميز المخرجات لجميع محتويات المستخدم في وظيفة تحرير الصفحات. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. قيد امتيازات تحرير الصفحات للمسؤولين الموثوقين فقط. أجرِ مراجعة أمان الأكواد لوحدة الصفحات الثابتة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.GV-1 PR.AC-1 PR.DS-1

🟡 ISO 27001:2022

A.6.1.1 A.7.1.1 A.12.2.1 A.14.2.1

🔗 References & Sources 2

🔗

https://cert.pl/posts/2026/03/CVE-2026-24350

🔗

📦 Affected Products / CPE 2 entries

pluxml:pluxml:5.8.9

pluxml:pluxml:5.8.21

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-02-27

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-24351

💬 Comments

Introduce Yourself

Sign In Required