CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-35996

Critical
Published: Translated: NVD NIST

Summary

Wersje KUNBUS PiCtory 2.11.1 i wcześniejsze są podatne na atak typu cross-site scripting (XSS) z powodu braku odpowiedniego oczyszczania nazw plików przesyłanych przez API. Złośliwie skonstruowana nazwa pliku może być wykonana jako tag skryptu HTML, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu w przeglądarce użytkownika.

Risk Assessment

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Organizacja narażona jest na utratę zaufania klientów oraz potencjalne straty finansowe.

Recommendation

Zaleca się aktualizację KUNBUS PiCtory do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, należy wdrożyć odpowiednie mechanizmy sanitizacji i walidacji danych wejściowych w API.

Original NVD description (English source)

KUNBUS PiCtory version 2.11.1 and earlier are vulnerable when an authenticated remote attacker crafts a special filename that can be stored by API endpoints. That filename is later transmitted to the client in order to show a list of configuration files. Due to a missing escape or sanitization, the filename could be executed as HTML script tag resulting in a cross-site-scripting attack.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS