CRITICAL🇬🇧 English

CVE-2025-53883

Reflected XSS w polach wyszukiwania SUSE Manager Server

CVSS 9.3v4.0pub. 2025-10-30upd. 2026-04-15

Podatność typu reflected XSS (Basic XSS) w SUSE Manager Server umożliwia atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez spreparowane zapytania w polach wyszukiwania. Pomimo wymaganej interakcji użytkownika, podatność uzyskała ocenę CRITICAL (CVSS 9.3) ze względu na wysoki wpływ na poufność i integralność danych w systemach zależnych.

Pokaż oryginał (EN)

A Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability allows attackers to run arbitrary javascript via a reflected XSS issue in the search fields.This issue affects Container suse/manager/5.0/x86_64/server:latest: from ? before 5.0.28-150600.3.36.8; SUSE Manager Server LTS 4.3: from ? before 4.3.88-150400.3.113.5.

🤖 Analiza AI
Jak działa

Aplikacja nieprawidłowo neutralizuje tagi HTML związane ze skryptami (CWE-80) w danych wejściowych przekazywanych do pól wyszukiwania. Atakujący może skonstruować złośliwy URL zawierający payload JavaScript, który zostanie odzwierciedlony w odpowiedzi serwera bez odpowiedniego filtrowania. Po tym, jak użytkownik posiadający uprawnienia kliknie w spreparowany link, złośliwy skrypt zostaje wykonany w kontekście jego sesji przeglądarki.

Skutki

Atakujący może przejąć sesję zalogowanego użytkownika, wykradać poufne dane lub wykonywać działania w jego imieniu, co przy narzędziu klasy SUSE Manager może prowadzić do kompromitacji zarządzanej infrastruktury. Wysoki wpływ na integralność i poufność systemów zależnych (SC:H/SI:H) wskazuje na możliwe poważne skutki dla zarządzanych środowisk.

Mitygacja

Należy zaktualizować: Container suse/manager/5.0/x86_64/server do wersji 5.0.28-150600.3.36.8 lub nowszej; SUSE Manager Server LTS 4.3 do wersji 4.3.88-150400.3.113.5 lub nowszej. Szczegóły dostępne w referencjach producenta pod adresem https://bugzilla.suse.com/show_bug.cgi?id=CVE-2025-53883.

Kogo dotyczy

Container suse/manager/5.0/x86_64/server:latest w wersjach przed 5.0.28-150600.3.36.8 oraz SUSE Manager Server LTS 4.3 w wersjach przed 4.3.88-150400.3.113.5.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSSContainer
CWE
Referencje
CVE-2025-53883 — Reflected XSS w polach wyszukiwania SUSE Manager Server — CRITICAL 9.3 | CVEbaza.pl