CVE-2025-71166
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Typesetter CMS w wersjach do 5.1 zawiera podatność na odbity XSS w interfejsie administracyjnym, w obsłudze komunikatów narzędzia Status. Parametr path jest odzwierciedlany w odpowiedzi HTML bez odpowiedniego kodowania w pliku include/admin/Tools/Status.php. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod HTML lub JavaScript, co prowadzi do wykonania skryptu w sesji przeglądarki innego uwierzytelnionego użytkownika.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji administracyjnej, kradzieży danych lub wykonania nieautoryzowanych działań w kontekście konta administratora, co może naruszyć integralność i poufność systemu CMS.
Rekomendacja
Zaleca się natychmiastową aktualizację Typesetter CMS do wersji nowszej niż 5.1, jeśli dostępna, lub zastosowanie tymczasowego obejścia poprzez ręczne dodanie kodowania wyjścia dla parametru path w pliku Status.php.
Oryginalny opis (angielski, źródło NVD)
Typesetter CMS versions up to and including 5.1 contain a reflected cross-site scripting (XSS) vulnerability in the administrative interface within the Tools Status move message handling. The path parameter is reflected into the HTML output without proper output encoding in include/admin/Tools/Status.php. An authenticated attacker can supply crafted input containing HTML or JavaScript, resulting in arbitrary script execution in the context of an authenticated user's browser session.

