CVE-2025-50592
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
W systemie SeaCMS przed wersją 13.2 wykryto podatność na atak typu Cross-Site Scripting (XSS) poprzez parametr 'vid' w skrypcie Upload/js/player/dmplayer/player. Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do kradzieży sesji użytkowników, przekierowania na złośliwe strony lub wykonania innych działań w kontekście przeglądarki ofiary, co zagraża poufności i integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować SeaCMS do wersji 13.2 lub nowszej, która zawiera poprawkę eliminującą podatność XSS. Dodatkowo warto zastosować filtrowanie i walidację danych wejściowych dla parametru 'vid'.
Oryginalny opis (angielski, źródło NVD)
Cross site scripting vulnerability in seacms before 13.2 via the vid parameter to Upload/js/player/dmplayer/player.

