Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu OpenSolution QuickCMS
23 października 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-9980
Data publikacji 23 października 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-9981
Data publikacji 23 października 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania QuickCMS
Podatne wersje 6.8
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenSolution QuickCMS i koordynował proces ujawniania informacji.

Podatność CVE-2025-9980: QuickCMS jest podatny na wiele ataków typu Stored XSS w funkcjonalności edytora stron pages-form. Atakujący posiadający uprawnienia administratora może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania edytowanej strony. Domyślnie użytkownik z uprawnieniami administratora nie ma możliwości dodawania JavaScriptu do witryny.

Podatność CVE-2025-9981: QuickCMS jest podatny na wiele ataków typu Stored XSS w funkcjonalności edytora sliderów sliders-form. Atakujący posiadający uprawnienia administratora może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany na każdej stronie. Domyślnie użytkownik z uprawnieniami administratora nie ma możliwości dodawania JavaScriptu do witryny.

Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 6.8 — inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Bartłomiejowi "Holl0w" Adamskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.