Katalog CVE

CVE-2025-65622

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

W Snipe-IT przed wersją 8.3.4 odkryto podatność na trwały atak XSS w polu "Kraj" w lokalizacjach. Umożliwia ona uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wstrzyknięcie kodu JavaScript, który wykona się w sesji innego użytkownika.

Ocena ryzyka

Atakujący może przejąć sesję innego użytkownika, wykraść dane lub wykonać nieautoryzowane działania w systemie Snipe-IT, co zagraża poufności i integralności zarządzania aktywami IT.

Rekomendacja

Niezwłocznie zaktualizuj Snipe-IT do wersji 8.3.4 lub nowszej, która zawiera poprawkę eliminującą podatność XSS w polu "Kraj".

Oryginalny opis (angielski, źródło NVD)

Snipe-IT before 8.3.4 allows stored XSS via the Locations "Country" field, enabling a low-privileged authenticated user to inject JavaScript that executes in another user's session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS