| CVE ID | CVE-2025-12518 |
| Data publikacji | 18 marca 2026 |
| Producent podatnego oprogramowania | Bee Content Design |
| Nazwa podatnego oprogramowania | Befree SDK |
| Podatne wersje | Wszystkie poniżej 3.47.0 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Bee Content Design Befree SDK i koordynował proces ujawniania informacji.
Podatność CVE-2025-12518: beefree.io SDK jest podatne na ataki typu Stored XSS w parametrze odpowiedzialnym za odnośnik ikony mediów społecznościowych w funkcjonalności kreatora e‑maili. Atakujący może wstrzyknąć dowolny kod HTML i JavaScript do szablonu, który zostanie wyrenderowany/wykonany podczas odwiedzania strony podglądu. Ze względu na Content Security Policy stosowane przez beefree, nie wszystkie payloady wykonają się pomyślnie.
Ta podatność została usunięta w wersji 3.47.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Błaszczakowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.