Katalog CVE

CVE-2025-55887

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

W usłudze rezerwacji posiłków ARD odkryto podatność na atak typu Cross-Site Scripting (XSS). Podatność występuje w parametrze transactionID w adresie URL strony potwierdzenia transakcji. Z powodu niewłaściwej walidacji wejścia i kodowania wyjścia, atakujący może wstrzyknąć złośliwy kod JavaScript, który wykonuje się w przeglądarce ofiary.

Ocena ryzyka

Atakujący może przejąć sesję użytkownika, ukraść ciasteczka i wykonywać inne złośliwe działania w imieniu ofiary, co może prowadzić do naruszenia poufności danych i integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować usługę ARD do najnowszej wersji, która zawiera poprawki walidacji wejścia i kodowania wyjścia. W międzyczasie zaleca się wdrożenie filtrowania parametru transactionID oraz stosowanie nagłówków Content Security Policy (CSP).

Oryginalny opis (angielski, źródło NVD)

Cross-Site Scripting (XSS) vulnerability was discovered in the meal reservation service ARD. The vulnerability exists in the transactionID GET parameter on the transaction confirmation page. Due to improper input validation and output encoding, an attacker can inject malicious JavaScript code that is executed in the context of a user s browser. This can lead to session hijacking, theft of cookies, and other malicious actions performed on behalf of the victim.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS