Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Bee Content Design Befree SDK i koordynował proces ujawniania informacji.
Podatność CVE-2025-12518: beefree.io SDK jest podatne na ataki typu Stored XSS w parametrze odpowiedzialnym za odnośnik ikony mediów społecznościowych w funkcjonalności kreatora e‑maili. Atakujący może wstrzyknąć dowolny kod HTML i JavaScript do szablonu, który zostanie wyrenderowany/wykonany podczas odwiedzania strony podglądu. Ze względu na Content Security Policy stosowane przez beefree, nie wszystkie payloady wykonają się pomyślnie.
Ta podatność została usunięta w wersji 3.47.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Błaszczakowi.
