Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenSolution QuickCMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-9982: W QuickCMS w wersji 6.8 w pliku konfiguracyjnym są na stałe zapisane dane uwierzytelniające administratora w postaci jawnej. Ten błąd umożliwia atakującym, którzy mają dostęp do kodu źródłowego lub systemu plików serwera, uzyskanie danych uwierzytelniających, co może prowadzić do eskalacji uprawnień.
Podatność CVE-2025-10018: QuickCMS jest podatny na wiele ataków typu Stored XSS w funkcjonalności edytora języków languages. Złośliwy atakujący posiadający uprawnienia administratora może wstrzyknąć dowolny kod HTML i JS do witryny, który będzie renderowany/wykonywany na każdej stronie. Domyślnie użytkownik z rolą administratora nie ma możliwości dodawania kodu JavaScript do witryny.
Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 6.8 — inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Czubernatowi.
