CVE-2025-65676
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
W Classroomio LMS 0.1.13 odkryto podatność na trwały atak XSS. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript poprzez specjalnie spreparowane obrazy SVG używane jako zdjęcia okładek.
Ocena ryzyka
Atakujący może wykraść sesje użytkowników, przekierować ich na złośliwe strony lub wykonać dowolne działania w kontekście ofiary, co prowadzi do naruszenia poufności i integralności danych.
Rekomendacja
Należy natychmiast zaktualizować Classroomio LMS do najnowszej wersji oraz wdrożyć walidację i sanityzację przesyłanych plików SVG, aby zapobiec wstrzykiwaniu skryptów.
Oryginalny opis (angielski, źródło NVD)
Stored Cross site scripting (XSS) vulnerability in Classroomio LMS 0.1.13 allows authenticated attackers to execute arbitrary code via crafted SVG cover images.

