漏洞信息(CVE-2026-0949)

一、漏洞 CVE-2026-0949 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # N/A

## 概述
PEM 9.8.1 之前版本存在存储型跨站脚本（XSS）漏洞，攻击者可通过“Manage Charts”菜单在创建图表时注入恶意 JavaScript 代码。

## 影响版本
PEM 9.8.1 之前的版本。

## 细节
该漏洞允许具有“Manage Charts”菜单访问权限的用户在创建新图表时注入任意 JavaScript 脚本。注入的脚本被服务器存储，并在其他用户访问该图表时执行。

## 影响
任何访问被篡改图表的用户都会在浏览器上下文中执行恶意脚本，可能导致会话劫持、敏感信息泄露或权限提升。默认情况下，仅 superuser、pem_admin 或 pem_super_admin 用户具备触发此漏洞的权限。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

PEM versions prior to 9.8.1 are affected by a stored Cross-site Scripting (XSS) vulnerability that allows users with access to the Manage Charts menu to inject arbitrary JavaScript when creating a new chart, which is then executed by any user accessing the chart. By default only the superuser and users with pem_admin or pem_super_admin privileges are able to access the Manage Charts menu.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2026-0949 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2026-0949 的情报信息

标题： EDB Docs - CVE-2026-0949 - PEM 9.8 Cross-site scripting -- 🔗来源链接

标签：

神龙速读：

                                        ### CVE-2026-0949 - PEM 9.8 Cross-site scripting

#### Summary
PEM versions prior to 9.8.1 are affected by a stored Cross-Site Scripting (XSS) vulnerability that allows users with access to the “Manage Charts” menu to inject arbitrary Javascript when creating a new chart, which is then executed by any user accessing the chart. By default only the superuser and users with pem_admin or pem_super_admin privileges are able to access the “Manage Charts” menu.

#### Vulnerability Details
- **CVE-ID:** CVE-2026-0949
- **CVSS Base Score:** 6.5
- **CVSS Temporal Score:** Undefined
- **CVSS Environmental Score:** Undefined
- **CVSS Vector:** CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

#### Affected Products and Versions
- **Affected Product:** Postgres Enterprise Manager (PEM)
- **Affected Versions:** All versions prior to PEM 9.8.1.

#### Remediation/Fixes
Remediation is available in PEM 9.8.1.

#### References
- https://www.first.org/cvss/calculator/3.1
- CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

#### Related Information
- EnterpriseDB
- EDB Blogs link

#### Acknowledgement
Source: MITRE

#### Change History
- 16 Jan 2026: Original Copy Published

EDB Docs - CVE-2026-0949 - PEM 9.8 Cross-site scripting

https://nvd.nist.gov/vuln/detail/CVE-2026-0949

四、漏洞 CVE-2026-0949 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2026-0949 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2026-0949 的公开POC

三、漏洞 CVE-2026-0949 的情报信息

四、漏洞 CVE-2026-0949 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2026-0949 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2026-0949 的公开POC

三、漏洞 CVE-2026-0949 的情报信息

四、漏洞 CVE-2026-0949 的评论

发表评论

一、漏洞 CVE-2026-0949 基础信息