CVE-2025-9823 in Mautic
Sumário
de VulDB • 06/06/2026
Resumo Uma vulnerabilidade de Cross-Site Scripting (XSS) permite que um atacante execute JavaScript arbitrário no contexto da sessão de outro usuário. Isso ocorre porque a entrada fornecida pelo usuário é refletida de volta na resposta do servidor sem a devida sanitização ou escape, potencialmente permitindo ações maliciosas como sequestro de sessão, roubo de credenciais ou ações não autorizadas no aplicativo.
Detalhes A vulnerabilidade reside no campo de entrada "Tags" no endpoint /s/ajax?action=lead:addLeadTags. Embora o servidor aplique sanitização antes de armazenar os dados ou retorná-los posteriormente, a carga útil é executada imediatamente no navegador da vítima após a reflexão, permitindo que um atacante execute JavaScript arbitrário na sessão do usuário.
Impacto Um ataque de XSS Refletido pode ter um impacto significativo, permitindo que os atacantes roubem dados sensíveis do usuário, como cookies, redirecionem usuários para sites maliciosos, manipulem o conteúdo da página da web e, essencialmente, assumam o controle da sessão de um usuário dentro de um aplicativo executando código JavaScript malicioso no navegador da vítima, mesmo que o código do lado do servidor seja seguro; permitindo essencialmente que eles realizem ações como se fossem o usuário conectado.
Referências * Web Security Academy: Cross-site scripting https://portswigger.net/web-security/cross-site-scripting * Web Security Academy: Reflected cross-site scripting https://portswigger.net/web-security/cross-site-scripting/reflected
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.