Katalog CVE

CVE-2025-71177

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

LavaLite CMS w wersjach do 10.1.0 zawiera podatność na trwałe cross-site scripting (XSS) w funkcji tworzenia i wyszukiwania pakietów. Zautoryzowani użytkownicy mogą wstrzyknąć złośliwy kod HTML lub JavaScript w pola Nazwa lub Opis pakietu, który jest przechowywany i wyświetlany bez odpowiedniego kodowania w wynikach wyszukiwania. Gdy inni użytkownicy przeglądają wyniki zawierające złośliwy pakiet, skrypt wykonuje się w ich przeglądarkach.

Ocena ryzyka

Ryzyko obejmuje przejęcie sesji, kradzież poświadczeń oraz nieautoryzowane działania w kontekście ofiary, co może prowadzić do naruszenia poufności i integralności danych w systemie CMS.

Rekomendacja

Należy natychmiast zaktualizować LavaLite CMS do wersji nowszej niż 10.1.0, która zawiera poprawkę. Do czasu aktualizacji zaleca się ograniczenie uprawnień do tworzenia pakietów tylko dla zaufanych użytkowników oraz wdrożenie filtrowania wejścia i kodowania wyjścia dla pól Nazwa i Opis.

Oryginalny opis (angielski, źródło NVD)

LavaLite CMS versions up to and including 10.1.0 contain a stored cross-site scripting vulnerability in the package creation and search functionality. Authenticated users can supply crafted HTML or JavaScript in the package Name or Description fields that is stored and later rendered without proper output encoding in package search results. When other users view search results that include the malicious package, the injected script executes in their browsers, potentially enabling session hijacking, credential theft, and unauthorized actions in the context of the victim.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS