Katalog CVE

CVE-2025-35996

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje KUNBUS PiCtory 2.11.1 i wcześniejsze są podatne na atak typu cross-site scripting (XSS) z powodu braku odpowiedniego oczyszczania nazw plików przesyłanych przez API. Złośliwie skonstruowana nazwa pliku może być wykonana jako tag skryptu HTML, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu w przeglądarce użytkownika.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Organizacja narażona jest na utratę zaufania klientów oraz potencjalne straty finansowe.

Rekomendacja

Zaleca się aktualizację KUNBUS PiCtory do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, należy wdrożyć odpowiednie mechanizmy sanitizacji i walidacji danych wejściowych w API.

Oryginalny opis (angielski, źródło NVD)

KUNBUS PiCtory version 2.11.1 and earlier are vulnerable when an authenticated remote attacker crafts a special filename that can be stored by API endpoints. That filename is later transmitted to the client in order to show a list of configuration files. Due to a missing escape or sanitization, the filename could be executed as HTML script tag resulting in a cross-site-scripting attack.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS