Katalog CVE

CVE-2025-71164

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Typesetter CMS w wersjach do 5.1 zawiera podatność na odbity XSS w komponencie edycji. Parametr images (przesyłany jako images[] w żądaniu POST) jest odbijany w atrybucie href HTML bez odpowiedniego kodowania wyjścia w pliku include/tool/Editing.php. Uwierzytelniony atakujący z uprawnieniami edytora może dostarczyć protokół JavaScript (np. javascript:), aby wykonać dowolny kod JavaScript w kontekście sesji przeglądarki ofiary.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości kradzieży sesji, przejęcia konta administratora lub wykonania nieautoryzowanych działań w CMS przez atakującego, który wykorzysta podatność do wstrzyknięcia złośliwego skryptu.

Rekomendacja

Zaleca się natychmiastową aktualizację Typesetter CMS do wersji powyżej 5.1 lub zastosowanie poprawki bezpieczeństwa, która implementuje odpowiednie kodowanie wyjścia dla parametru images w pliku Editing.php.

Oryginalny opis (angielski, źródło NVD)

Typesetter CMS versions up to and including 5.1 contain a reflected cross-site scripting (XSS) vulnerability in the Editing component. The images parameter (submitted as images[] in a POST request) is reflected into an HTML href attribute without proper context-aware output encoding in include/tool/Editing.php. An authenticated attacker with editing privileges can supply a JavaScript pseudo-protocol (e.g., javascript:) to trigger arbitrary JavaScript execution in the context of the victim's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS