CVE-2025-56200
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
W bibliotece validator.js do wersji 13.15.15 wykryto podatność polegającą na obejściu walidacji URL. Funkcja isURL() używa '://' jako separatora protokołu, podczas gdy przeglądarki używają ':'. Ta różnica w parsowaniu umożliwia atakującym tworzenie adresów URL, które omijają walidację protokołu i domeny, prowadząc do ataków XSS i Open Redirect.
Ocena ryzyka
Organizacja narażona jest na ataki typu Cross-Site Scripting (XSS) oraz Open Redirect, co może skutkować kradzieżą danych użytkowników, przejęciem sesji lub przekierowaniem na złośliwe strony.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę validator.js do wersji 13.15.16 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
A URL validation bypass vulnerability exists in validator.js through version 13.15.15. The isURL() function uses '://' as a delimiter to parse protocols, while browsers use ':' as the delimiter. This parsing difference allows attackers to bypass protocol and domain validation by crafting URLs leading to XSS and Open Redirect attacks.

