CVE-2025-9823 in Mauticinformação

Sumário

de VulDB • 06/06/2026

Resumo Uma vulnerabilidade de Cross-Site Scripting (XSS) permite que um atacante execute JavaScript arbitrário no contexto da sessão de outro usuário. Isso ocorre porque a entrada fornecida pelo usuário é refletida de volta na resposta do servidor sem a devida sanitização ou escape, potencialmente permitindo ações maliciosas como sequestro de sessão, roubo de credenciais ou ações não autorizadas no aplicativo.

Detalhes A vulnerabilidade reside no campo de entrada "Tags" no endpoint /s/ajax?action=lead:addLeadTags. Embora o servidor aplique sanitização antes de armazenar os dados ou retorná-los posteriormente, a carga útil é executada imediatamente no navegador da vítima após a reflexão, permitindo que um atacante execute JavaScript arbitrário na sessão do usuário.

Impacto Um ataque de XSS Refletido pode ter um impacto significativo, permitindo que os atacantes roubem dados sensíveis do usuário, como cookies, redirecionem usuários para sites maliciosos, manipulem o conteúdo da página da web e, essencialmente, assumam o controle da sessão de um usuário dentro de um aplicativo executando código JavaScript malicioso no navegador da vítima, mesmo que o código do lado do servidor seja seguro; permitindo essencialmente que eles realizem ações como se fossem o usuário conectado.

Referências * Web Security Academy: Cross-site scripting https://portswigger.net/web-security/cross-site-scripting * Web Security Academy: Reflected cross-site scripting https://portswigger.net/web-security/cross-site-scripting/reflected

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Mautic

Reservar

02/09/2025

Divulgação

03/09/2025

Moderação

aceite

Entrada

VDB-322406

CPE

pronto

EPSS

0.00289

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!