Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu OpenSolution QuickCMS
28 sierpnia 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-54540
Data publikacji 28 sierpnia 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-54541
Data publikacji 28 sierpnia 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-54542
Data publikacji 28 sierpnia 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Use of GET Request Method With Sensitive Query Strings (CWE-598)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-54543
Data publikacji 28 sierpnia 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-54544
Data publikacji 28 sierpnia 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-55175
Data publikacji 28 sierpnia 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenSolution QuickCMS i koordynował proces ujawniania informacji.

Podatność CVE-2025-54540: QuickCMS jest podatny na atak typu Reflected XSS poprzez parametr sSort w funkcjonalności panelu administratora. Złośliwy atakujący może przygotować specjalnie spreparowany adres URL, który po otwarciu spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

Podatność CVE-2025-54541: QuickCMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności usuwania stron. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie POST usuwające dowolny artykuł.

Podatność CVE-2025-54542: QuickCMS przesyła hasło i login za pomocą żądania GET. Umożliwia to lokalnemu atakującemu, który ma dostęp do historii przeglądarki ofiary, uzyskanie danych uwierzytelniających potrzebnych do zalogowania się jako użytkownik.

Podatność CVE-2025-54543: QuickCMS jest podatny na atak typu Stored XSS poprzez parametr sDescriptionMeta w funkcjonalności edytora SEO strony. Złośliwy atakujący posiadający uprawnienia administratora może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania edytowanej strony. Domyślnie użytkownik z uprawnieniami administratora nie ma możliwości dodawania kodu JavaScript do witryny.

Podatność CVE-2025-54544: QuickCMS jest podatny na atak typu Stored XSS poprzez parametr aDirFilesDescriptions w funkcjonalności edytora plików. Złośliwy atakujący posiadający uprawnienia administratora może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania edytowanej strony. Domyślnie użytkownik z uprawnieniami administratora nie ma możliwości dodawania kodu JavaScript do witryny.

Podatność CVE-2025-55175: QuickCMS jest podatny na atak typu Reflected XSS poprzez parametr sLangEdit w funkcjonalności panelu administratora. Złośliwy atakujący może przygotować specjalnie spreparowany adres URL, który po otwarciu spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 6.8 — inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Czubernatowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.