Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Eveo URVE Smart Office i koordynował proces ujawniania informacji.
Podatność CVE-2025-10348: URVE Smart Office jest podatny na atak typu Stored XSS w funkcji zgłaszania problemu. Atakujący posiadający konto o niskich uprawnieniach może przesłać plik SVG zawierający złośliwy kod, który zostanie wykonany, gdy ofiara odwiedzi adres URL przesłanego zasobu. Zasób ten jest dostępny dla wszystkich, bez jakiejkolwiek formy uwierzytelnienia.
Problem został naprawiony w wersji 1.1.24.
Podziękowania
Za zgłoszenie podatności dziękujemy Annie Błaszczak i Ksaweremu Kehl z Alior Banku.
![Błędy w implementacji krzywej FourQ od Cloudflare pozwalały na odzyskanie klucza prywatnego [CVE-2025-8556]](https://sekurak.pl/wp-content/uploads/2023/04/ProXy_computer_is_hacking_man_ab39bc3e-6ce6-4c49-8c5d-37ad77c46bd4.png)
