CVE-2024-32890 in speedtest
Riassunto
di VulDB • 14/06/2026
librespeed/speedtest è un test di velocità open source e self-hosted per HTML5. Nelle versioni interessate, la mancata neutralizzazione delle informazioni sull'ISP nei risultati del speedtest provoca una Cross-site scripting (XSS) memorizzata nell'API JSON. Il campo `processedString` nel parametro `ispinfo` non viene neutralizzato correttamente. Tale valore viene archiviato quando un utente invia i risultati di un test di velocità all'API di telemetria (`results/telemetry.php`) e restituito dall'API JSON (`results/json.php`). Questa vulnerabilità è stata introdotta con il commit 3937b94. La vulnerabilità colpisce le istanze di LibreSpeed speedtest che eseguono la versione 5.2.5 o successive, con la telemetria abilitata, ed è stata risolta nella versione 5.3.1. Si consiglia agli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.