CVE-2025-51053
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
Podatność Cross-site scripting (XSS) w interfejsie /api_vedo/ w Vedo Suite w wersji 2024.17 umożliwia zdalnemu atakującemu wstrzyknięcie dowolnego kodu JavaScript lub HTML, co może prowadzić do wykonania kodu w przeglądarce ofiary.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji użytkownika, przejęcia konta lub wykonania nieautoryzowanych działań w kontekście zalogowanego administratora, co może narazić organizację na wyciek danych lub naruszenie integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować Vedo Suite do najnowszej wersji łatającej tę podatność oraz zastosować filtrowanie i kodowanie danych wejściowych w endpointach API, aby zapobiec wstrzykiwaniu skryptów.
Oryginalny opis (angielski, źródło NVD)
A Cross-site scripting (XSS) vulnerability in /api_vedo/ in Vedo Suite version 2024.17 allows remote attackers to inject arbitrary Javascript or HTML code and potentially trigger code execution in victim's browser.

