CVE-2025-71177
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
LavaLite CMS w wersjach do 10.1.0 zawiera podatność na trwałe cross-site scripting (XSS) w funkcji tworzenia i wyszukiwania pakietów. Zautoryzowani użytkownicy mogą wstrzyknąć złośliwy kod HTML lub JavaScript w pola Nazwa lub Opis pakietu, który jest przechowywany i wyświetlany bez odpowiedniego kodowania w wynikach wyszukiwania. Gdy inni użytkownicy przeglądają wyniki zawierające złośliwy pakiet, skrypt wykonuje się w ich przeglądarkach.
Ocena ryzyka
Ryzyko obejmuje przejęcie sesji, kradzież poświadczeń oraz nieautoryzowane działania w kontekście ofiary, co może prowadzić do naruszenia poufności i integralności danych w systemie CMS.
Rekomendacja
Należy natychmiast zaktualizować LavaLite CMS do wersji nowszej niż 10.1.0, która zawiera poprawkę. Do czasu aktualizacji zaleca się ograniczenie uprawnień do tworzenia pakietów tylko dla zaufanych użytkowników oraz wdrożenie filtrowania wejścia i kodowania wyjścia dla pól Nazwa i Opis.
Oryginalny opis (angielski, źródło NVD)
LavaLite CMS versions up to and including 10.1.0 contain a stored cross-site scripting vulnerability in the package creation and search functionality. Authenticated users can supply crafted HTML or JavaScript in the package Name or Description fields that is stored and later rendered without proper output encoding in package search results. When other users view search results that include the malicious package, the injected script executes in their browsers, potentially enabling session hijacking, credential theft, and unauthorized actions in the context of the victim.

