Katalog CVE

CVE-2025-71165

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Typesetter CMS w wersjach do 5.1 zawiera podatność na odbity XSS w interfejsie administracyjnym w funkcji Status narzędzi. Parametr ścieżki jest odzwierciedlany w odpowiedzi HTML bez odpowiedniego kodowania wyjścia w pliku include/admin/Tools/Status.php. Uwierzytelniony atakujący może dostarczyć spreparowane dane zawierające HTML lub JavaScript, co prowadzi do wykonania dowolnego skryptu w kontekście sesji przeglądarki uwierzytelnionego użytkownika.

Ocena ryzyka

Ryzyko polega na możliwości wykonania dowolnego kodu JavaScript w sesji administratora, co może umożliwić kradzież sesji, modyfikację treści lub eskalację uprawnień w systemie CMS.

Rekomendacja

Zaleca się natychmiastową aktualizację Typesetter CMS do wersji powyżej 5.1 lub zastosowanie poprawki zabezpieczającej, która implementuje prawidłowe kodowanie wyjścia dla parametru ścieżki.

Oryginalny opis (angielski, źródło NVD)

Typesetter CMS versions up to and including 5.1 contain a reflected cross-site scripting (XSS) vulnerability in the administrative interface within the Tools Status functionality. The path parameter is reflected into the HTML response without proper output encoding in include/admin/Tools/Status.php. An authenticated attacker can supply crafted input containing HTML or JavaScript, resulting in arbitrary script execution in the context of an authenticated user's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS