CVE-2025-57145
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność na atak XSS w pliku search-autootaxi.php aplikacji ATSMS. Brak odpowiedniej sanityzacji danych wejściowych umożliwia wstrzyknięcie złośliwego kodu JavaScript, który jest przechowywany w backendzie i wykonywany podczas przeglądania raportu.
Ocena ryzyka
Atakujący może przechwycić ciasteczka sesji, porwać sesje użytkowników i wykonywać nieautoryzowane działania w przeglądarce ofiary, co prowadzi do naruszenia poufności i integralności danych.
Rekomendacja
Należy natychmiast zaimplementować walidację i sanityzację danych wejściowych w formularzu oraz zastosować kodowanie wyjścia (np. HTML entity encoding) dla wszystkich danych wyświetlanych na stronie raportu.
Oryginalny opis (angielski, źródło NVD)
A cross-site scripting (XSS) vulnerability exists in the search-autootaxi.php endpoint of the ATSMS web application. The application fails to properly sanitize user input submitted through a form field, allowing an attacker to inject arbitrary JavaScript code. The malicious payload is stored in the backend and executed when a user or administrator accesses the affected report page. This allows attackers to exfiltrate session cookies, hijack user sessions, and perform unauthorized actions in the context of the victims browser.

