Opis podatności
CERT Polska w ramach badań własnych znalazł podatność w oprogramowaniu Request Tracker firmy Best Practical i koordynował proces ujawniania informacji.
Podatność CVE-2025-9158: Request Tracker zawiera podatność typu Stored XSS w funkcji obsługującej zaproszenia kalendarza, która wyświetla dane zaproszenia bez oczyszczania kodu HTML. Podatność umożliwia atakującemu wysłanie specjalnie spreparowanego e-maila umożliwiającego wykonanie kodu JavaScript poprzez wyświetlenie zgłoszenia w kontekście zalogowanego użytkownika.
Podatność dotyczy wersji od 5.0.4 do 5.0.8 włącznie oraz od 6.0.0 do 6.0.1 włącznie.
