CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-27852

MediumCVSS 5.0
Published: Updated: Translated: NVD NIST

Summary

Lokalnie serwisowana strona internetowa na urządzeniu Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu reflected cross site scripting (XSS). Atakujący w lokalnej sieci może wykonać dowolny kod JavaScript w kontekście strony WDU, co może prowadzić do pełnego dostępu administracyjnego do urządzenia.

Risk Assessment

Zagrożenie to pozwala atakującemu na przejęcie kontroli nad urządzeniem, co może prowadzić do wycieku danych lub dalszych ataków w sieci lokalnej. Wysokie ryzyko dla bezpieczeństwa organizacji, zwłaszcza w przypadku urządzeń krytycznych.

Recommendation

Zaleca się ograniczenie dostępu do urządzenia Garmin WDU tylko do zaufanych użytkowników oraz monitorowanie ruchu sieciowego w celu wykrycia potencjalnych prób ataku. Należy również rozważyć aktualizację oprogramowania do najnowszej wersji, jeśli jest dostępna.

Original NVD description (English source)

The locally served web site on the Garmin WDU (v1 1.4.6 and v2 5.0) allows a reflected cross site scripting (XSS) attack. This allows an attacker on the local network segment to execute arbitrary JavaScript code within the context of the WDU webpage. Full administrator level access to the device is possible. To initiate an exploit of this vulnerability, the victim must execute two actions: (1) view a specific URL served by the WDU, and (2) click an element on the rendered page.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS