CVE-2019-25737
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 - wyżej niż 26% wszystkich znanych CVE
Streszczenie
Live Chat Unlimited w wersji 2.8.3 zawiera podatność na przechowywane skrypty międzywitrynowe (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów przez pole wejściowe czatu. Atakujący mogą przesyłać ładunki zawierające tagi skryptów i obsługiwane zdarzenia, które wykonują się w obszarze administracyjnym.
Ocena ryzyka
Podatność ta może prowadzić do kradzieży ciasteczek lub wymuszenia przekierowań na złośliwe strony internetowe, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację Live Chat Unlimited do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Live Chat Unlimited 2.8.3 contains a stored cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts through the chat input field. Attackers can submit payloads containing script tags and event handlers that execute in the admin area, enabling cookie theft or forced redirects to malicious websites.

