Katalog CVE

CVE-2025-71166

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Typesetter CMS w wersjach do 5.1 zawiera podatność na odbity XSS w interfejsie administracyjnym, w obsłudze komunikatów narzędzia Status. Parametr path jest odzwierciedlany w odpowiedzi HTML bez odpowiedniego kodowania w pliku include/admin/Tools/Status.php. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod HTML lub JavaScript, co prowadzi do wykonania skryptu w sesji przeglądarki innego uwierzytelnionego użytkownika.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia sesji administracyjnej, kradzieży danych lub wykonania nieautoryzowanych działań w kontekście konta administratora, co może naruszyć integralność i poufność systemu CMS.

Rekomendacja

Zaleca się natychmiastową aktualizację Typesetter CMS do wersji nowszej niż 5.1, jeśli dostępna, lub zastosowanie tymczasowego obejścia poprzez ręczne dodanie kodowania wyjścia dla parametru path w pliku Status.php.

Oryginalny opis (angielski, źródło NVD)

Typesetter CMS versions up to and including 5.1 contain a reflected cross-site scripting (XSS) vulnerability in the administrative interface within the Tools Status move message handling. The path parameter is reflected into the HTML output without proper output encoding in include/admin/Tools/Status.php. An authenticated attacker can supply crafted input containing HTML or JavaScript, resulting in arbitrary script execution in the context of an authenticated user's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS