CVE-2025-61078
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
W phpIPAM v1.7.3 odkryto podatność na atak XSS w formularzu Request IP. Luka umożliwia zdalnemu atakującemu wstrzyknięcie dowolnego skryptu lub kodu HTML poprzez parametr instructions w żądaniu do endpointu /app/admin/instructions/edit-result.php.
Ocena ryzyka
Atakujący może wykraść sesje użytkowników, przekierować ich na złośliwe strony lub wykonać inne działania w kontekście przeglądarki ofiary, co zagraża poufności i integralności danych w organizacji.
Rekomendacja
Należy natychmiast zaktualizować phpIPAM do najnowszej wersji, która zawiera poprawkę tej luki. Dodatkowo warto wdrożyć walidację i kodowanie danych wejściowych dla parametru instructions.
Oryginalny opis (angielski, źródło NVD)
Cross-site scripting (XSS) vulnerability in Request IP form in phpIPAM v1.7.3 allows remote attackers to inject arbitrary web script or HTML via the instructions parameter for the /app/admin/instructions/edit-result.php endpoint.

