CVE-2025-40902
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wykryto podatność na wstrzykiwanie HTML w funkcjonalności użytkowników z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami administratora może stworzyć złośliwego użytkownika, którego nazwa zawiera tagi HTML, co prowadzi do potencjalnych ataków phishingowych.
Ocena ryzyka
Organizacja jest narażona na ataki phishingowe oraz możliwość przekierowań, gdy ofiara próbuje usunąć grupę zawierającą zainfekowanego użytkownika. Istniejące mechanizmy walidacji wejścia ograniczają pełne wykorzystanie XSS i ujawnienie informacji.
Rekomendacja
Zaleca się przegląd i wzmocnienie walidacji parametrów wejściowych oraz przeszkolenie administratorów w zakresie bezpiecznego zarządzania użytkownikami.
Oryginalny opis (angielski, źródło NVD)
A Stored HTML Injection vulnerability was discovered in the Users functionality due to improper validation of an input parameter. An authenticated user with administrative privileges can create a malicious user whose username contains HTML tags. When a victim attempts to delete a group containing the affected user, the injected HTML renders in their browser, enabling phishing and possibly open redirect attacks. Full XSS exploitation and direct information disclosure are prevented by the existing input validation and Content Security Policy configuration.

