Katalog CVE

CVE-2025-71385

ŚrednieCVSS 6.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność XSS w Netdata przed wersją 2.3.1 w endpointach api/v2/ilove.svg i api/v3/ilove.svg. Atakujący może wstrzyknąć złośliwy kod JavaScript poprzez parametr love, który jest odzwierciedlany w odpowiedzi SVG bez odpowiedniego kodowania. Endpointy są dostępne bez uwierzytelniania, co umożliwia zdalne wykonanie skryptu w przeglądarce ofiary.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży sesji, przechwycenia danych uwierzytelniających lub wykonania nieautoryzowanych działań w kontekście sesji ofiary w interfejsie Netdata. Atak może być wykorzystany do phishingu lub rozprzestrzeniania złośliwego oprogramowania.

Rekomendacja

Należy natychmiast zaktualizować Netdata do wersji 2.3.1 lub nowszej, która usuwa podatny endpoint. Jeśli aktualizacja nie jest możliwa, należy zablokować dostęp do endpointów /api/v2/ilove.svg i /api/v3/ilove.svg na zaporze sieciowej lub w konfiguracji serwera.

Oryginalny opis (angielski, źródło NVD)

Netdata before 2.3.1 reflects the user-supplied love query parameter of the api/v2/ilove.svg and api/v3/ilove.svg endpoints verbatim into the generated SVG document (into a text element) without HTML or XML escaping, and serves the response with Content-Type image/svg+xml. An attacker can craft a URL such as /api/v2/ilove.svg?love=<script>...</script>; when a victim navigates to it the injected script executes in the victim browser in the origin of the Netdata instance (reflected cross-site scripting). These endpoints are registered with HTTP_ACL_NOCHECK and anonymous access and, because bearer-token protection is disabled by default, are reachable without authentication on a default Netdata agent. The issue was resolved by removing the ilove endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS