CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-53484

Critical
Published: Translated: NVD NIST

Summary

Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.

Risk Assessment

Organizacja może być narażona na ataki typu XSS, co może prowadzić do przejęcia sesji użytkowników oraz kradzieży danych.

Recommendation

Zaleca się aktualizację rozszerzenia SecurePoll do wersji 1.39.13, 1.42.7 lub 1.43.2, aby usunąć tę podatność.

Original NVD description (English source)

User-controlled inputs are improperly escaped in: * VotePage.php (poll option input) * ResultPage::getPagesTab() and getErrorsTab() (user-controllable page names) This allows attackers to inject JavaScript and compromise user sessions under certain conditions. This issue affects Mediawiki - SecurePoll extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS