Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Eura7 CMSmanager i koordynował proces ujawniania informacji.
Podatność CVE-2024-11348 umożliwia przeprowadzenie ataków typu Reflected XSS (Cross-site Scripting). Modyfikacja parametru return wysyłanego w żądaniach GET do jednego z endpointów pozwala stworzyć link, który po kliknięciu przez użytkownika spowoduje uruchomienie skryptu w jego przeglądarce.
Podatność została usunięta przez patch o identyfikatorze 17012022, który adresowany jest do wszystkich podatnych wersji tego systemu (do 4.6 włącznie).
Podziękowania
Za zgłoszenie podatności dziękujemy Sebastianowi Jeżowi.
![Krytyczna podatność w Androidzie umożliwia zdalne wykonanie kodu, bez interakcji ze strony użytkownika [CVE-2025-48593]](https://sekurak.pl/wp-content/uploads/2025/11/Zrzut-ekranu-2025-11-7-o-13.55.14.png)
