Leantime bis 3.2.1 processMentions First name Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Zusammenfassung
In Leantime bis 3.2.1 wurde eine problematische Schwachstelle ausgemacht. Es geht hierbei um die Funktion processMentions. Die Bearbeitung des Arguments First name verursacht Cross Site Scripting.
Diese Schwachstelle trägt die Bezeichnung CVE-2025-28254. Der Angriff kann über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit.
Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
In Leantime bis 3.2.1 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Dabei geht es um die Funktion processMentions. Mittels Manipulieren des Arguments First name mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
Cross Site Scripting vulnerability in Leantime v3.2.1 and before allows an authenticated attacker to execute arbitrary code and obtain sensitive information via the first name field in processMentions().Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 11.03.2025 mit CVE-2025-28254 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Die Schwachstelle lässt sich durch das Einspielen des Patches ce1d2073e4601183e1bdd90f4b433d16aee46a50 beheben. Dieser kann von github.com bezogen werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2025-8662) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.4
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: ce1d2073e4601183e1bdd90f4b433d16aee46a50
Timeline
11.03.2025 🔍29.03.2025 🔍
29.03.2025 🔍
08.06.2025 🔍
Quellen
Produkt: github.comAdvisory: GHSA-95j3-435g-vjcp
Status: Bestätigt
CVE: CVE-2025-28254 (🔍)
GCVE (CVE): GCVE-0-2025-28254
GCVE (VulDB): GCVE-100-301978
EUVD: 🔍
Eintrag
Erstellt: 29.03.2025 04:22Aktualisierung: 08.06.2025 06:38
Anpassungen: 29.03.2025 04:22 (57), 08.06.2025 06:38 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.