Katalog CVE

CVE-2025-56200

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

W bibliotece validator.js do wersji 13.15.15 wykryto podatność polegającą na obejściu walidacji URL. Funkcja isURL() używa '://' jako separatora protokołu, podczas gdy przeglądarki używają ':'. Ta różnica w parsowaniu umożliwia atakującym tworzenie adresów URL, które omijają walidację protokołu i domeny, prowadząc do ataków XSS i Open Redirect.

Ocena ryzyka

Organizacja narażona jest na ataki typu Cross-Site Scripting (XSS) oraz Open Redirect, co może skutkować kradzieżą danych użytkowników, przejęciem sesji lub przekierowaniem na złośliwe strony.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę validator.js do wersji 13.15.16 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

A URL validation bypass vulnerability exists in validator.js through version 13.15.15. The isURL() function uses '://' as a delimiter to parse protocols, while browsers use ':' as the delimiter. This parsing difference allows attackers to bypass protocol and domain validation by crafting URLs leading to XSS and Open Redirect attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS