Katalog CVE

CVE-2019-25739

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

GigToDo w wersji 1.3 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwego kodu JavaScript i HTML przez pole opisu propozycji.

Ocena ryzyka

Atakujący mogą stworzyć ładunki XSS w punkcie końcowym create_proposal, które wykonują się, gdy administratorzy lub inni użytkownicy przeglądają przechowywaną propozycję, co może prowadzić do kradzieży ciasteczek i złośliwych przekierowań.

Rekomendacja

Zaleca się aktualizację GigToDo do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed atakami XSS.

Oryginalny opis (angielski, źródło NVD)

GigToDo 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript and HTML code through the proposal description field. Attackers can craft XSS payloads in the create_proposal endpoint that execute when administrators or other users view the stored proposal, enabling cookie theft and malicious redirects.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS