CVE-2025-63892
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
W systemie SourceCodester Student Grades Management System 1.0 wykryto podatność na trwałe ataki XSS. Funkcja create_classroom w pliku /classroom.php nie filtruje argumentów name/description, co pozwala na wstrzyknięcie złośliwego skryptu.
Ocena ryzyka
Atakujący może wstrzyknąć trwały skrypt, który wykona się w przeglądarkach administratorów i użytkowników, prowadząc do kradzieży sesji, defacementu lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować filtrowanie wejścia (walidacja i sanityzacja) dla pól name i description w pliku /classroom.php.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in SourceCodester Student Grades Management System 1.0. Affected is the function create_classroom of the file /classroom.php of the component My Classrooms Management Page. This manipulation of the argument name/description causes stored cross site scripting.

