CVE-2025-27852
ŚrednieCVSS 5.0Streszczenie
Lokalnie serwisowana strona internetowa na urządzeniu Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu reflected cross site scripting (XSS). Atakujący w lokalnej sieci może wykonać dowolny kod JavaScript w kontekście strony WDU, co może prowadzić do pełnego dostępu administracyjnego do urządzenia.
Ocena ryzyka
Zagrożenie to pozwala atakującemu na przejęcie kontroli nad urządzeniem, co może prowadzić do wycieku danych lub dalszych ataków w sieci lokalnej. Wysokie ryzyko dla bezpieczeństwa organizacji, zwłaszcza w przypadku urządzeń krytycznych.
Rekomendacja
Zaleca się ograniczenie dostępu do urządzenia Garmin WDU tylko do zaufanych użytkowników oraz monitorowanie ruchu sieciowego w celu wykrycia potencjalnych prób ataku. Należy również rozważyć aktualizację oprogramowania do najnowszej wersji, jeśli jest dostępna.
Oryginalny opis (angielski, źródło NVD)
The locally served web site on the Garmin WDU (v1 1.4.6 and v2 5.0) allows a reflected cross site scripting (XSS) attack. This allows an attacker on the local network segment to execute arbitrary JavaScript code within the context of the WDU webpage. Full administrator level access to the device is possible. To initiate an exploit of this vulnerability, the victim must execute two actions: (1) view a specific URL served by the WDU, and (2) click an element on the rendered page.

