A DOM based XSS in GFI Kerio Control v9.3.0 allows embedding of malicious code and manipulating the login page to send back a victim's cleartext credentials to an attacker via a login/?reason=failure&NTLM= URI.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:NGfi Kerio Control
APPGfi9.3.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje
Powiązane podatności
CVE-2025-34069CRITICAL9.5PL ✓ten sam produkt
Authentication Bypass w GFI Kerio Control — pełny dostęp admina bez uwierzytelnienia
CVE-2025-34070CRITICAL10.0PL ✓ten sam produkt
GFI Kerio Control – pominięcie uwierzytelnienia w komponencie GFIAgent (Auth Bypass)
CVE-2025-34071CRITICAL9.4PL ✓ten sam produkt
RCE w GFI Kerio Control poprzez mechanizm aktualizacji firmware
CVE-2024-52875HIGH8.8ten sam produkt
An issue was discovered in GFI Kerio Control 9.2.5 through 9.4.5. The dest GET parameter passed to the /nonaut...
CVE-2026-2038CRITICAL9.8PL ✓ten sam vendor
GFI Archiver MArc.Core — pominięcie autoryzacji (Authentication Bypass)