CVE-2025-13902
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 - wyżej niż 31% wszystkich znanych CVE
Streszczenie
Występuje podatność typu Cross-site Scripting (CWE-79), która pozwala uwierzytelnionym atakującym na uruchomienie dowolnego kodu JavaScript w przeglądarce ofiary, gdy ta najedzie kursorem na złośliwie przygotowany element na serwerze WWW zawierającym wstrzyknięty ładunek.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do przejęcia sesji użytkownika lub kradzieży danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się wprowadzenie odpowiednich filtrów i walidacji danych wejściowych, aby zapobiec wstrzykiwaniu złośliwego kodu oraz regularne aktualizowanie oprogramowania.
Oryginalny opis (angielski, źródło NVD)
CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists that could cause condition where authenticated attackers can have a victim’s browser run arbitrary JavaScript when the victim hovers over a maliciously crafted element on a web server containing the injected payload.

