Katalog CVE

CVE-2025-57145

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność na atak XSS w pliku search-autootaxi.php aplikacji ATSMS. Brak odpowiedniej sanityzacji danych wejściowych umożliwia wstrzyknięcie złośliwego kodu JavaScript, który jest przechowywany w backendzie i wykonywany podczas przeglądania raportu.

Ocena ryzyka

Atakujący może przechwycić ciasteczka sesji, porwać sesje użytkowników i wykonywać nieautoryzowane działania w przeglądarce ofiary, co prowadzi do naruszenia poufności i integralności danych.

Rekomendacja

Należy natychmiast zaimplementować walidację i sanityzację danych wejściowych w formularzu oraz zastosować kodowanie wyjścia (np. HTML entity encoding) dla wszystkich danych wyświetlanych na stronie raportu.

Oryginalny opis (angielski, źródło NVD)

A cross-site scripting (XSS) vulnerability exists in the search-autootaxi.php endpoint of the ATSMS web application. The application fails to properly sanitize user input submitted through a form field, allowing an attacker to inject arbitrary JavaScript code. The malicious payload is stored in the backend and executed when a user or administrator accesses the affected report page. This allows attackers to exfiltrate session cookies, hijack user sessions, and perform unauthorized actions in the context of the victims browser.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS