Podatność typu reflected XSS (Basic XSS) w SUSE Manager Server umożliwia atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez spreparowane zapytania w polach wyszukiwania. Pomimo wymaganej interakcji użytkownika, podatność uzyskała ocenę CRITICAL (CVSS 9.3) ze względu na wysoki wpływ na poufność i integralność danych w systemach zależnych.
▸ Pokaż oryginał (EN)
A Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability allows attackers to run arbitrary javascript via a reflected XSS issue in the search fields.This issue affects Container suse/manager/5.0/x86_64/server:latest: from ? before 5.0.28-150600.3.36.8; SUSE Manager Server LTS 4.3: from ? before 4.3.88-150400.3.113.5.
Aplikacja nieprawidłowo neutralizuje tagi HTML związane ze skryptami (CWE-80) w danych wejściowych przekazywanych do pól wyszukiwania. Atakujący może skonstruować złośliwy URL zawierający payload JavaScript, który zostanie odzwierciedlony w odpowiedzi serwera bez odpowiedniego filtrowania. Po tym, jak użytkownik posiadający uprawnienia kliknie w spreparowany link, złośliwy skrypt zostaje wykonany w kontekście jego sesji przeglądarki.
Atakujący może przejąć sesję zalogowanego użytkownika, wykradać poufne dane lub wykonywać działania w jego imieniu, co przy narzędziu klasy SUSE Manager może prowadzić do kompromitacji zarządzanej infrastruktury. Wysoki wpływ na integralność i poufność systemów zależnych (SC:H/SI:H) wskazuje na możliwe poważne skutki dla zarządzanych środowisk.
Należy zaktualizować: Container suse/manager/5.0/x86_64/server do wersji 5.0.28-150600.3.36.8 lub nowszej; SUSE Manager Server LTS 4.3 do wersji 4.3.88-150400.3.113.5 lub nowszej. Szczegóły dostępne w referencjach producenta pod adresem https://bugzilla.suse.com/show_bug.cgi?id=CVE-2025-53883.
Container suse/manager/5.0/x86_64/server:latest w wersjach przed 5.0.28-150600.3.36.8 oraz SUSE Manager Server LTS 4.3 w wersjach przed 4.3.88-150400.3.113.5.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X