CVE-2025-55887
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
W usłudze rezerwacji posiłków ARD odkryto podatność na atak typu Cross-Site Scripting (XSS). Podatność występuje w parametrze transactionID w adresie URL strony potwierdzenia transakcji. Z powodu niewłaściwej walidacji wejścia i kodowania wyjścia, atakujący może wstrzyknąć złośliwy kod JavaScript, który wykonuje się w przeglądarce ofiary.
Ocena ryzyka
Atakujący może przejąć sesję użytkownika, ukraść ciasteczka i wykonywać inne złośliwe działania w imieniu ofiary, co może prowadzić do naruszenia poufności danych i integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować usługę ARD do najnowszej wersji, która zawiera poprawki walidacji wejścia i kodowania wyjścia. W międzyczasie zaleca się wdrożenie filtrowania parametru transactionID oraz stosowanie nagłówków Content Security Policy (CSP).
Oryginalny opis (angielski, źródło NVD)
Cross-Site Scripting (XSS) vulnerability was discovered in the meal reservation service ARD. The vulnerability exists in the transactionID GET parameter on the transaction confirmation page. Due to improper input validation and output encoding, an attacker can inject malicious JavaScript code that is executed in the context of a user s browser. This can lead to session hijacking, theft of cookies, and other malicious actions performed on behalf of the victim.

