CVE-2025-57202
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 - wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność na trwałe skryptowanie między witrynami (XSS) w punkcie końcowym PwdGrp.cgi urządzenia AVTECH DGM1104 umożliwia atakującym wstrzyknięcie złośliwego kodu JavaScript lub HTML do pola nazwy użytkownika. Skuteczne wykorzystanie podatności pozwala na wykonanie dowolnych skryptów w kontekście przeglądarki ofiary.
Ocena ryzyka
Atakujący może przejąć sesję administratora, wykraść dane uwierzytelniające lub przekierować użytkowników na złośliwe strony, co prowadzi do naruszenia poufności i integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie sprzętowe urządzenia do najnowszej wersji oraz zastosować filtrowanie wejściowe i kodowanie wyjściowe dla wszystkich pól formularzy, w szczególności pola nazwy użytkownika.
Oryginalny opis (angielski, źródło NVD)
A stored cross-site scripting (XSS) vulnerability in the PwdGrp.cgi endpoint of AVTECH SECURITY Corporation DGM1104 FullImg-1015-1004-1006-1003 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the username field.

