Katalog CVE

CVE-2025-65621

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

Podatność XSS w Snipe-IT przed wersją 8.3.4 umożliwia niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi wstrzyknięcie JavaScript, który wykonuje się w sesji administratora, co prowadzi do eskalacji uprawnień.

Ocena ryzyka

Atakujący może przejąć sesję administratora, uzyskując pełną kontrolę nad systemem zarządzania aktywami IT, co grozi wyciekiem danych i naruszeniem integralności konfiguracji.

Rekomendacja

Niezwłocznie zaktualizuj Snipe-IT do wersji 8.3.4 lub nowszej, która zawiera poprawkę eliminującą podatność na przechowywany XSS.

Oryginalny opis (angielski, źródło NVD)

Snipe-IT before 8.3.4 allows stored XSS, allowing a low-privileged authenticated user to inject JavaScript that executes in an administrator's session, enabling privilege escalation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS