Katalog CVE

CVE-2025-40901

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

W funkcjonalności Menedżera Poświadczeń odkryto podatność na wstrzyknięcie HTML, spowodowaną niewłaściwą walidacją parametru wejściowego. Użytkownik z uprawnieniami administratora może zdefiniować złośliwą tożsamość zawierającą tagi HTML, co prowadzi do potencjalnych ataków phishingowych.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przeprowadzenia ataków phishingowych oraz przekierowań, co może prowadzić do ujawnienia danych użytkowników.

Rekomendacja

Zaleca się przegląd i poprawę walidacji danych wejściowych w Menedżerze Poświadczeń oraz wdrożenie dodatkowych zabezpieczeń, aby zminimalizować ryzyko ataków.

Oryginalny opis (angielski, źródło NVD)

A Stored HTML Injection vulnerability was discovered in the Credentials Manager functionality due to improper validation of an input parameter. An authenticated user with administrative privileges can define a malicious identity containing HTML tags. When a victim attempts to delete the affected identity, the injected HTML renders in their browser, enabling phishing and possibly open redirect attacks. Full XSS exploitation and direct information disclosure are prevented by the existing input validation and Content Security Policy configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS