CVE-2025-53484
KrytyczneStreszczenie
Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.
Ocena ryzyka
Organizacja może być narażona na ataki typu XSS, co może prowadzić do przejęcia sesji użytkowników oraz kradzieży danych.
Rekomendacja
Zaleca się aktualizację rozszerzenia SecurePoll do wersji 1.39.13, 1.42.7 lub 1.43.2, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
User-controlled inputs are improperly escaped in: * VotePage.php (poll option input) * ResultPage::getPagesTab() and getErrorsTab() (user-controllable page names) This allows attackers to inject JavaScript and compromise user sessions under certain conditions. This issue affects Mediawiki - SecurePoll extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.

