CVE-2025-63401
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
W produkcie HCLTech DRAGON przed wersją 7.6.0 wykryto podatność na atak typu Cross Site Scripting (XSS). Brak odpowiednich dyrektyw bezpieczeństwa umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w kontekście przeglądarki ofiary.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji użytkownika, kradzieży danych lub rozprzestrzeniania złośliwego oprogramowania w organizacji poprzez wstrzyknięcie złośliwego skryptu.
Rekomendacja
Należy niezwłocznie zaktualizować HCLTech DRAGON do wersji 7.6.0 lub nowszej, która zawiera poprawki eliminujące tę podatność.
Oryginalny opis (angielski, źródło NVD)
Cross Site Scripting vulnerability in HCL Technologies Limited HCLTech DRAGON before v.7.6.0 allows a remote attacker to execute arbitrary code via missing directives

