Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu HyperView Geoportal Toolkit i koordynował proces ujawniania informacji.
Podatność CVE-2024-6449 polega na wykorzystaniu jednego z endpointów REST API w celu odwoływania się do niezaufanych zewnętrznych domen i pobierania z nich treści, w tym skryptów JavaScript, które następnie wykonane zostaną w przestrzeni użytkownika. Jednocześnie, z wykorzystaniem tego endpointa możliwa jest ograniczona enumeracja sieci LAN, w której znajduje się serwer.
Podatność CVE-2024-6450 typu Reflected XSS umożliwia wykonanie skryptu w przeglądarce użytkownika poprzez nakłonienie go do użycia spreparowanego linku.
Wszystkie wersje systemu do 8.2.4 włącznie są uważane za podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Dariuszowi Gońdzie.
![Krytyczna podatność w Androidzie umożliwia zdalne wykonanie kodu, bez interakcji ze strony użytkownika [CVE-2025-48593]](https://sekurak.pl/wp-content/uploads/2025/11/Zrzut-ekranu-2025-11-7-o-13.55.14.png)
