CVE-2025-53484
CriticalSummary
Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.
Risk Assessment
Organizacja może być narażona na ataki typu XSS, co może prowadzić do przejęcia sesji użytkowników oraz kradzieży danych.
Recommendation
Zaleca się aktualizację rozszerzenia SecurePoll do wersji 1.39.13, 1.42.7 lub 1.43.2, aby usunąć tę podatność.
Original NVD description (English source)
User-controlled inputs are improperly escaped in: * VotePage.php (poll option input) * ResultPage::getPagesTab() and getErrorsTab() (user-controllable page names) This allows attackers to inject JavaScript and compromise user sessions under certain conditions. This issue affects Mediawiki - SecurePoll extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.

