Katalog CVE

CVE-2025-53484

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.

Ocena ryzyka

Organizacja może być narażona na ataki typu XSS, co może prowadzić do przejęcia sesji użytkowników oraz kradzieży danych.

Rekomendacja

Zaleca się aktualizację rozszerzenia SecurePoll do wersji 1.39.13, 1.42.7 lub 1.43.2, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

User-controlled inputs are improperly escaped in: * VotePage.php (poll option input) * ResultPage::getPagesTab() and getErrorsTab() (user-controllable page names) This allows attackers to inject JavaScript and compromise user sessions under certain conditions. This issue affects Mediawiki - SecurePoll extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS