Katalog CVE

CVE-2019-25731

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Zuz Music 2.1 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwego kodu JavaScript poprzez przesyłanie spreparowanych danych formularza kontaktowego. Kod skryptu może być wstrzykiwany przez parametry name, subject i message w żądaniach POST do /gmusic/zuzconsole/___contact.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wykonania złośliwego kodu w kontekście przeglądarki administratorów, co może prowadzić do kradzieży danych lub przejęcia konta. To stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację Zuz Music do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić walidację i sanitizację danych wejściowych w formularzach kontaktowych.

Oryginalny opis (angielski, źródło NVD)

Zuz Music 2.1 contains a persistent cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious JavaScript by submitting crafted contact form data. Attackers can inject script code through the name, subject, and message parameters in POST requests to /gmusic/zuzconsole/___contact, which executes when administrators view messages in the inbox interface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS