CVE-2019-25739
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
GigToDo w wersji 1.3 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwego kodu JavaScript i HTML przez pole opisu propozycji.
Ocena ryzyka
Atakujący mogą stworzyć ładunki XSS w punkcie końcowym create_proposal, które wykonują się, gdy administratorzy lub inni użytkownicy przeglądają przechowywaną propozycję, co może prowadzić do kradzieży ciasteczek i złośliwych przekierowań.
Rekomendacja
Zaleca się aktualizację GigToDo do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed atakami XSS.
Oryginalny opis (angielski, źródło NVD)
GigToDo 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject malicious JavaScript and HTML code through the proposal description field. Attackers can craft XSS payloads in the create_proposal endpoint that execute when administrators or other users view the stored proposal, enabling cookie theft and malicious redirects.

