Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Eveo URVE Smart Office
30 października 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-10348
Data publikacji 30 października 2025
Producent podatnego oprogramowania Eveo
Nazwa podatnego oprogramowania URVE Smart Office
Podatne wersje Wszystkie poniżej 1.1.24
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Eveo URVE Smart Office i koordynował proces ujawniania informacji.

Podatność CVE-2025-10348: URVE Smart Office jest podatny na atak typu Stored XSS w funkcji zgłaszania problemu. Atakujący posiadający konto o niskich uprawnieniach może przesłać plik SVG zawierający złośliwy kod, który zostanie wykonany, gdy ofiara odwiedzi adres URL przesłanego zasobu. Zasób ten jest dostępny dla każdego, bez jakiejkolwiek formy uwierzytelnienia.

Problem został naprawiony w wersji 1.1.24.

Podziękowania

Za zgłoszenie podatności dziękujemy Annie Błaszczak i Ksaweremu Kehl z Alior Banku.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.