Katalog CVE

CVE-2025-40900

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

W funkcjonalności raportów odkryto podatność na wstrzykiwanie szablonów Angulara z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami do raportów może zdefiniować złośliwy raport zawierający ładunek szablonu Angulara.

Ocena ryzyka

Atakujący może zmodyfikować dane aplikacji lub zakłócić jej dostępność, gdy ofiara wyświetli lub zaimportuje złośliwy szablon raportu. Istniejąca walidacja wejścia oraz konfiguracja polityki bezpieczeństwa treści ograniczają pełne wykorzystanie XSS i ujawnienie informacji.

Rekomendacja

Zaleca się przegląd i wzmocnienie walidacji parametrów wejściowych oraz monitorowanie aktywności użytkowników z uprawnieniami do raportów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

An Angular template injection vulnerability was discovered in the Reports functionality due to improper validation of an input parameter. An authenticated user with report privileges can define a malicious report containing an Angular template payload, or a victim can be socially engineered to import a malicious report template. When the victim views or imports the report, the Angular template executes in their browser context, allowing the attacker to modify application data, or disrupt application availability. Full XSS exploitation and direct information disclosure are prevented by the existing input validation and Content Security Policy configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS