CVE-2025-40901
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
W funkcjonalności Menedżera Poświadczeń odkryto podatność na wstrzyknięcie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z uprawnieniami administratora może zdefiniować złośliwą tożsamość zawierającą tagi HTML, co prowadzi do potencjalnych ataków phishingowych.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przeprowadzenia ataków phishingowych oraz przekierowań, co może prowadzić do ujawnienia danych użytkowników.
Rekomendacja
Zaleca się przegląd i poprawę walidacji danych wejściowych w Menedżerze Poświadczeń oraz wdrożenie dodatkowych zabezpieczeń, aby zminimalizować ryzyko ataków.
Oryginalny opis (angielski, źródło NVD)
A Stored HTML Injection vulnerability was discovered in the Credentials Manager functionality due to improper validation of an input parameter. An authenticated user with administrative privileges can define a malicious identity containing HTML tags. When a victim attempts to delete the affected identity, the injected HTML renders in their browser, enabling phishing and possibly open redirect attacks. Full XSS exploitation and direct information disclosure are prevented by the existing input validation and Content Security Policy configuration.

