CRITICAL🇬🇧 English

CVE-2025-67787

XSS w DriveLock Operations Center umożliwiający przejęcie sesji

CVSS 9.6v3.1pub. 2025-12-17upd. 2026-01-02

W DriveLock Operations Center wykryto podatność typu Cross-Site Scripting (XSS), która pozwala atakującemu na przejęcie sesji użytkownika przez sieć. Podatność otrzymała ocenę CVSS 9.6 (CRITICAL), co czyni ją poważnym zagrożeniem dla środowisk korzystających z tej platformy.

Pokaż oryginał (EN)

An issue was discovered in 25.1.2 before 25.1.5. A Cross Site Scripting (XSS) issue in DriveLock Operations Center allows for session takeover over a network.

🤖 Analiza AI
Jak działa

Podatność klasy XSS (CWE-79) polega na możliwości wstrzyknięcia i wykonania złośliwego kodu JavaScript w kontekście przeglądarki ofiary. Wektor ataku wskazuje, że do jego przeprowadzenia wymagana jest interakcja użytkownika (UI:R), natomiast atak pochodzi ze zdalnej lokalizacji przez sieć (AV:N) bez konieczności posiadania uprawnień (PR:N). Ze względu na zmieniony zakres (S:C) skutki ataku wykraczają poza aplikację będącą bezpośrednim celem, co potencjalnie zagraża powiązanym zasobom.

Skutki

Atakujący może przejąć sesję zalogowanego użytkownika DriveLock Operations Center, uzyskując w ten sposób dostęp do danych i funkcji systemu z poziomem uprawnień ofiary. Skutki obejmują wysoką utratę poufności i integralności danych oraz częściowe zagrożenie dostępności systemu.

Mitygacja

Należy zaktualizować DriveLock do wersji 25.1.5 lub nowszej, w której błąd został usunięty. Szczegóły dostępne są w biuletynie bezpieczeństwa producenta (Security Bulletin 25-002) pod adresem wskazanym w referencjach.

Kogo dotyczy

DriveLock w wersjach od 25.1.2 do 25.1.4 (przed wersją 25.1.5) — komponent DriveLock Operations Center.

Uwagi

Podatność opisana w oficjalnym biuletynie bezpieczeństwa producenta DriveLock o sygnaturze 25-002, opublikowanym przez DriveLock w sekcji Release Notes. Identyfikator wersji poprawki: 25.1.5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L
  • Drivelock

    APP
    Drivelock
    25.1.225.1.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2025-67791CRITICAL9.8PL ✓ten sam produkt

DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES

CVE-2025-67781CRITICAL9.9PL ✓ten sam produkt

DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi

CVE-2025-67793CRITICAL9.8PL ✓ten sam produkt

DriveLock — nieautoryzowana eskalacja uprawnień do roli Supervisor przez API

CVE-2025-55187CRITICAL9.9PL ✓ten sam produkt

DriveLock — privilege escalation umożliwiające przejęcie kontroli nad systemem

CVE-2025-67790HIGH7.5ten sam produkt

An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. An unpriv...