CVE-2025-65621
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność XSS w Snipe-IT przed wersją 8.3.4 umożliwia niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi wstrzyknięcie JavaScript, który wykonuje się w sesji administratora, co prowadzi do eskalacji uprawnień.
Ocena ryzyka
Atakujący może przejąć sesję administratora, uzyskując pełną kontrolę nad systemem zarządzania aktywami IT, co grozi wyciekiem danych i naruszeniem integralności konfiguracji.
Rekomendacja
Niezwłocznie zaktualizuj Snipe-IT do wersji 8.3.4 lub nowszej, która zawiera poprawkę eliminującą podatność na przechowywany XSS.
Oryginalny opis (angielski, źródło NVD)
Snipe-IT before 8.3.4 allows stored XSS, allowing a low-privileged authenticated user to inject JavaScript that executes in an administrator's session, enabling privilege escalation.

