CVE-2025-56807
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
W systemie FairSketch RISE Ultimate Project Manager & CRM 3.9.4 wykryto podatność na atak XSS (przechowywany). Administrator może wstrzyknąć złośliwy kod JavaScript podczas tworzenia nowych folderów w eksploratorze plików panelu administracyjnego.
Ocena ryzyka
Atakujący z uprawnieniami administratora może trwale umieścić złośliwy skrypt, który wykona się w przeglądarkach innych użytkowników, prowadząc do kradzieży sesji, modyfikacji treści lub dalszej eskalacji ataku.
Rekomendacja
Należy zaktualizować system do najnowszej wersji, a do czasu aktualizacji ograniczyć dostęp do panelu administracyjnego oraz stosować walidację i kodowanie danych wejściowych w funkcji tworzenia folderów.
Oryginalny opis (angielski, źródło NVD)
A cross-site scripting (XSS) vulnerability in FairSketch RISE Ultimate Project Manager & CRM 3.9.4 allows an administrator to store a JavaScript payload using the file explorer in the admin dashboard when creating new folders.

