CVE-2025-67290
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
W Piranha CMS v12.1 w module Page Settings wykryto podatność na trwały cross-site scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do pola Excerpt, co prowadzi do wykonania skryptów w przeglądarce ofiary.
Ocena ryzyka
Ryzyko obejmuje kradzież sesji użytkowników, przejęcie kont administratora oraz defacement strony. Atak może być wykorzystany do rozprzestrzeniania złośliwego oprogramowania w organizacji.
Rekomendacja
Należy natychmiast zaktualizować Piranha CMS do najnowszej wersji oraz zastosować filtrowanie wejściowe i kodowanie wyjściowe dla pola Excerpt. Dodatkowo wdrożyć Content Security Policy (CSP).
Oryginalny opis (angielski, źródło NVD)
A stored cross-site scripting (XSS) vulnerability in the Page Settings module of Piranha CMS v12.1 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Excerpt field.

