CVE-2025-71385
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Podatność XSS w Netdata przed wersją 2.3.1 w endpointach api/v2/ilove.svg i api/v3/ilove.svg. Atakujący może wstrzyknąć złośliwy kod JavaScript poprzez parametr love, który jest odzwierciedlany w odpowiedzi SVG bez odpowiedniego kodowania. Endpointy są dostępne bez uwierzytelniania, co umożliwia zdalne wykonanie skryptu w przeglądarce ofiary.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji, przechwycenia danych uwierzytelniających lub wykonania nieautoryzowanych działań w kontekście sesji ofiary w interfejsie Netdata. Atak może być wykorzystany do phishingu lub rozprzestrzeniania złośliwego oprogramowania.
Rekomendacja
Należy natychmiast zaktualizować Netdata do wersji 2.3.1 lub nowszej, która usuwa podatny endpoint. Jeśli aktualizacja nie jest możliwa, należy zablokować dostęp do endpointów /api/v2/ilove.svg i /api/v3/ilove.svg na zaporze sieciowej lub w konfiguracji serwera.
Oryginalny opis (angielski, źródło NVD)
Netdata before 2.3.1 reflects the user-supplied love query parameter of the api/v2/ilove.svg and api/v3/ilove.svg endpoints verbatim into the generated SVG document (into a text element) without HTML or XML escaping, and serves the response with Content-Type image/svg+xml. An attacker can craft a URL such as /api/v2/ilove.svg?love=<script>...</script>; when a victim navigates to it the injected script executes in the victim browser in the origin of the Netdata instance (reflected cross-site scripting). These endpoints are registered with HTTP_ACL_NOCHECK and anonymous access and, because bearer-token protection is disabled by default, are reachable without authentication on a default Netdata agent. The issue was resolved by removing the ilove endpoint.

