CVE-2025-65622
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
W Snipe-IT przed wersją 8.3.4 odkryto podatność na trwały atak XSS w polu "Kraj" w lokalizacjach. Umożliwia ona uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wstrzyknięcie kodu JavaScript, który wykona się w sesji innego użytkownika.
Ocena ryzyka
Atakujący może przejąć sesję innego użytkownika, wykraść dane lub wykonać nieautoryzowane działania w systemie Snipe-IT, co zagraża poufności i integralności zarządzania aktywami IT.
Rekomendacja
Niezwłocznie zaktualizuj Snipe-IT do wersji 8.3.4 lub nowszej, która zawiera poprawkę eliminującą podatność XSS w polu "Kraj".
Oryginalny opis (angielski, źródło NVD)
Snipe-IT before 8.3.4 allows stored XSS via the Locations "Country" field, enabling a low-privileged authenticated user to inject JavaScript that executes in another user's session.

