Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Akcess-Net Lepszy BIP i koordynował proces ujawniania informacji.
Podatność CVE-2025-7761: Lepszy BIP jest podatny na atak typu Reflected Cross-Site Scripting (XSS). Niewłaściwa walidacja danych wejściowych w formularzu index.php w jednym z parametrów umożliwia wykonanie dowolnego kodu JavaScript w przeglądarce ofiary po otwarciu specjalnie spreparowanego adresu URL.
Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił żadnej odpowiedzi. Potencjalnie wszystkie wersje są podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu i Robertowi Kruczkowi.