Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Studio Fabryka DobryCMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-4379: DobryCMS w wersjach 2.* i niższych jest podatny na atak typu Reflected Cross-Site Scripting (XSS). Niewłaściwa walidacja danych wejściowych w parametrze "szukaj" umożliwia wykonanie dowolnego kodu JavaScript w przeglądarce ofiary po otwarciu specjalnie spreparowanego adresu URL.
Łatka naprawcza dla podatnych wersji została opublikowana 29.04.2025. Podatność została usunięta bez zwiększania wersji oprogramowania.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu oraz Robertowi Kruczkowi.
