PT-2025-35773 · Mautic+1 · Mautic+1
Kuzmany
+2
·
Publicado
2025-09-03
·
Atualizado
2025-09-03
·
CVE-2025-9823
CVSS v4.0
4.8
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Não foi possível determinar o nome do produto. (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade de Cross-Site Scripting (XSS) permite que um atacante execute JavaScript arbitrário no contexto da sessão de outro usuário. Isso ocorre porque a entrada fornecida pelo usuário é refletida de volta na resposta do servidor sem sanitização ou escape adequados, potencialmente permitindo ações maliciosas como sequestro de sessão, roubo de credenciais ou ações não autorizadas na aplicação. A vulnerabilidade reside no campo de entrada "Tags" no endpoint
/s/ajax?action=lead:addLeadTags. Embora o servidor aplique sanitização antes de armazenar os dados ou retorná-los posteriormente, o payload é executado imediatamente no navegador da vítima ao ser refletido, permitindo que um atacante execute JavaScript arbitrário na sessão do usuário. Um ataque de XSS Refletido pode ter um impacto significativo, permitindo que atacantes roubem dados sensíveis do usuário, como cookies, redirecionem usuários para sites maliciosos e manipulem o conteúdo da página web.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mautic
Mautic/Core