Katalog CVE

CVE-2025-70365

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

W systemie Kiamo przed wersją 8.4 wykryto podatność na trwały atak XSS (stored cross-site scripting). Wynika ona z nieprawidłowego kodowania danych wejściowych użytkownika w interfejsach administracyjnych. Uwierzytelniony użytkownik administracyjny może wstrzyknąć dowolny kod JavaScript, który zostanie wykonany w przeglądarkach innych użytkowników przeglądających dotknięte strony.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia sesji, kradzieży danych lub wykonania nieautoryzowanych działań w kontekście kont innych użytkowników, w tym administratorów. Atak wymaga jednak uwierzytelnionego konta administracyjnego.

Rekomendacja

Należy niezwłocznie zaktualizować system Kiamo do wersji 8.4 lub nowszej. Jeśli używana jest gałąź 8.3.1, należy zastosować dostępną łatkę.

Oryginalny opis (angielski, źródło NVD)

A stored cross-site scripting (XSS) vulnerability exists in Kiamo before 8.4 due to improper output encoding of user-supplied input in administrative interfaces. An authenticated administrative user can inject arbitrary JavaScript code that is executed in the browser of users viewing the affected pages. NOTE: the Supplier's position is that a fix for this had already been released for the 8.3.1 branch before the CVE Record was published.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS