CRITICAL🇬🇧 English

CVE-2025-54117

XSS w edytorze tekstu panelu administracyjnego NamelessMC

CVSS 9.0v3.1pub. 2025-08-18upd. 2025-08-20

W oprogramowaniu NamelessMC przed wersją 2.2.3 istnieje podatność typu Cross-site scripting (XSS) w komponencie edytora tekstu panelu zarządzania. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML, co przy ocenie CVSS 9.0 (CRITICAL) stanowi poważne zagrożenie dla integralności i poufności danych.

Pokaż oryginał (EN)

NamelessMC is a free, easy to use & powerful website software for Minecraft servers. Cross-site scripting (XSS) vulnerability in NamelessMC before 2.2.3 allows remote authenticated attackers to inject arbitrary web script or HTML via the dashboard text editor component. This vulnerability is fixed in 2.2.4.

🤖 Analiza AI
Jak działa

Podatność polega na niewystarczającym oczyszczaniu danych wejściowych wprowadzanych przez zalogowanego użytkownika w komponencie edytora tekstu (dashboard text editor). Atakujący z uprawnieniami do edycji treści może osadzić złośliwy skrypt lub kod HTML, który zostanie wykonany w przeglądarce innej ofiary podczas wyświetlania zainfekowanej strony. Ze względu na zmianę kontekstu (Scope: Changed), skutki ataku mogą wykraczać poza sesję bezpośrednio zaatakowanego użytkownika. Podatność sklasyfikowana jest jako CWE-79 (Improper Neutralization of Input During Web Page Generation) oraz CWE-80 (Improper Neutralization of Script-Related HTML Tags).

Skutki

Atakujący może przejąć sesję użytkownika lub administratora, wykraść poufne dane oraz wykonać nieautoryzowane działania w imieniu ofiary, co może prowadzić do pełnego przejęcia kontroli nad witryną serwera Minecraft.

Mitygacja

Należy niezwłocznie zaktualizować NamelessMC do wersji 2.2.4, w której podatność została naprawiona. Commit naprawczy dostępny jest pod adresem: https://github.com/NamelessMC/Nameless/commit/0e77706b2966dd9f2e30502126d6581ecc001f09

Kogo dotyczy

NamelessMC w wersjach przed 2.2.3 (podatność usunięta w wersji 2.2.4)

Uwagi

Podatność zgłoszona i opisana w ramach GitHub Security Advisory GHSA-gp3j-j84w-vqxx. Mimo wymagania uwierzytelnienia (PR:L), wysoki wynik CVSS 9.0 wynika ze zmiany kontekstu bezpieczeństwa (S:C) oraz wysokiego wpływu na poufność, integralność i dostępność.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Namelessmc Nameless

    APP
    Namelessmc
    < 2.2.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2025-22144CRITICAL9.0PL ✓ten sam produkt

NamelessMC — przejęcie konta przez pusty kod resetowania hasła

CVE-2025-54421HIGH7.2ten sam produkt

NamelessMC is a free, easy to use & powerful website software for Minecraft servers. Cross-site scripting (XSS...

CVE-2025-30357HIGH7.3ten sam produkt

NamelessMC is a free, easy to use & powerful website software for Minecraft servers. In version 2.1.4 and prio...

CVE-2025-29784HIGH7.5ten sam produkt

NamelessMC is a free, easy to use & powerful website software for Minecraft servers. In version 2.1.4 and prio...

CVE-2025-30158HIGH7.1ten sam produkt

NamelessMC is a free, easy to use & powerful website software for Minecraft servers. In version 2.1.4 and prio...