CVE-2025-55346
KrytyczneStreszczenie
Podatność CVE-2025-55346 pozwala na wykorzystanie kontrolowanego przez użytkownika wejścia do niebezpiecznej implementacji dynamicznego konstruktora funkcji. Umożliwia to atakującym sieciowym uruchomienie dowolnego kodu JavaScript bez piaskownicy w kontekście hosta, poprzez wysłanie prostego żądania POST.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości uruchomienia złośliwego kodu JavaScript, co może prowadzić do kradzieży danych, przejęcia kontroli nad systemem lub innych poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się przegląd i zabezpieczenie wszystkich miejsc, w których użytkownik może wprowadzać dane, oraz wdrożenie odpowiednich mechanizmów walidacji i sanitizacji wejścia, aby zapobiec wykorzystaniu tej podatności.
Oryginalny opis (angielski, źródło NVD)
User-controlled input flows to an unsafe implementation of a dynamic Function constructor, allowing network attackers to run arbitrary unsandboxed JS code in the context of the host, by sending a simple POST request.

