Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext i koordynował proces ujawniania informacji.

Podatność CVE-2025-54172: Quick.CMS jest podatny na atak typu Stored XSS w parametrze sTitle w funkcjonalności edytora stron. Atakujący z uprawnieniami administratora może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania edytowanej strony. Zwykły użytkownik z uprawnieniami administratora nie jest w stanie umieścić żadnych skryptów JS na stronie.

Podatność CVE-2025-54174: Quick.CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności tworzenia artykułów. Atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie POST tworzące szkodliwy artykuł z treścią określoną przez atakującego.

Podatność CVE-2025-54175: Quick.CMS.Ext jest podatny na atak typu Reflected XSS w parametrze sFileName w funkcjonalności przeglądarki miniaturek. Atakujący może przygotować adres URL, którego otwarcie spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

Zmiana domyślnej ścieżki prowadzącej do panelu administracyjnego (zgodnie z zaleceniami wyświetlanymi podczas instalacji) utrudnia eksploatację powyższych podatności, ale jej nie uniemożliwia.

Dostawca rozwiązania został powiadomiony o tych podatnościach, lecz nie udzielił informacji o zakresie podatnych wersji. Jedynie wersja 6.8 została przetestowana i potwierdzona jako podatna, inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu i Robertowi Kruczkowi.