Katalog CVE

CVE-2025-40902

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wykryto podatność na wstrzykiwanie HTML w funkcjonalności użytkowników z powodu niewłaściwej walidacji parametru wejściowego. Użytkownik z uprawnieniami administratora może stworzyć złośliwego użytkownika, którego nazwa zawiera tagi HTML, co prowadzi do potencjalnych ataków phishingowych.

Ocena ryzyka

Organizacja jest narażona na ataki phishingowe oraz możliwość przekierowań, gdy ofiara próbuje usunąć grupę zawierającą zainfekowanego użytkownika. Istniejące mechanizmy walidacji wejścia ograniczają pełne wykorzystanie XSS i ujawnienie informacji.

Rekomendacja

Zaleca się przegląd i wzmocnienie walidacji parametrów wejściowych oraz przeszkolenie administratorów w zakresie bezpiecznego zarządzania użytkownikami.

Oryginalny opis (angielski, źródło NVD)

A Stored HTML Injection vulnerability was discovered in the Users functionality due to improper validation of an input parameter. An authenticated user with administrative privileges can create a malicious user whose username contains HTML tags. When a victim attempts to delete a group containing the affected user, the injected HTML renders in their browser, enabling phishing and possibly open redirect attacks. Full XSS exploitation and direct information disclosure are prevented by the existing input validation and Content Security Policy configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS