| CVE ID | CVE-2025-9982 |
| Data publikacji | 14 listopada 2025 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | QuickCMS |
| Podatne wersje | 6.8 |
| Typ podatności (CWE) | Plaintext Storage of a Password (CWE-256) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-10018 |
| Data publikacji | 14 listopada 2025 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | QuickCMS |
| Podatne wersje | 6.8 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenSolution QuickCMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-9982: W QuickCMS w wersji 6.8 w pliku konfiguracyjnym są na stałe zapisane dane uwierzytelniające administratora w postaci jawnej. Ten błąd umożliwia atakującym, którzy mają dostęp do kodu źródłowego lub systemu plików serwera, uzyskanie danych uwierzytelniających, co może prowadzić do eskalacji uprawnień.
Podatność CVE-2025-10018: QuickCMS jest podatny na wiele ataków typu Stored XSS w funkcjonalności edytora języków languages. Złośliwy atakujący posiadający uprawnienia administratora może wstrzyknąć dowolny kod HTML i JS do witryny, który będzie renderowany/wykonywany na każdej stronie. Domyślnie użytkownik z rolą administratora nie ma możliwości dodawania kodu JavaScript do witryny.
Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 6.8 — inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Czubernatowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.