Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Request Tracker
24 października 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-9158
Data publikacji 24 października 2025
Producent podatnego oprogramowania Best Practical
Nazwa podatnego oprogramowania Request Tracker
Podatne wersje Od 5.0.4 do 5.0.8 włącznie oraz od 6.0.0 do 6.0.1 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł podatność w oprogramowaniu Request Tracker firmy Best Practical i koordynował proces ujawniania informacji.

Podatność CVE-2025-9158: Request Tracker zawiera podatność typu Stored XSS w funkcji obsługującej zaproszenia kalendarza, która wyświetla dane zaproszenia bez oczyszczania kodu HTML. Podatność umożliwia atakującemu wysłanie specjalnie spreparowanego e-maila umożliwiającego wykonanie kodu JavaScript poprzez wyświetlenie zgłoszenia w kontekście zalogowanego użytkownika.

Podatność dotyczy wersji od 5.0.4 do 5.0.8 włącznie oraz od 6.0.0 do 6.0.1 włącznie.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.