CVE-2019-25731
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Zuz Music 2.1 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwego kodu JavaScript poprzez przesyłanie spreparowanych danych formularza kontaktowego. Kod skryptu może być wstrzykiwany przez parametry name, subject i message w żądaniach POST do /gmusic/zuzconsole/___contact.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do wykonania złośliwego kodu w kontekście przeglądarki administratorów, co może prowadzić do kradzieży danych lub przejęcia konta. To stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację Zuz Music do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić walidację i sanitizację danych wejściowych w formularzach kontaktowych.
Oryginalny opis (angielski, źródło NVD)
Zuz Music 2.1 contains a persistent cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious JavaScript by submitting crafted contact form data. Attackers can inject script code through the name, subject, and message parameters in POST requests to /gmusic/zuzconsole/___contact, which executes when administrators view messages in the inbox interface.

