CVE-2025-9823 in Mautic
Сводка
по VulDB • 13.05.2026
Сводка Уязвимость межсайтового скриптинга (XSS) позволяет злоумышленнику выполнять произвольный JavaScript в контексте сессии другого пользователя. Это происходит из-за того, что введенные пользователем данные возвращаются в ответе сервера без надлежащей санитизации или экранирования, что потенциально может привести к таким вредоносным действиям, как перехват сессии, кража учетных данных или выполнение несанкционированных действий в приложении.
Подробности Уязвимость находится в поле ввода «Tags» (Теги) на эндпоинте /s/ajax?action=lead:addLeadTags. Хотя сервер применяет санитизацию перед сохранением данных или их последующим возвратом, полезная нагрузка выполняется немедленно в браузере жертвы при отражении, что позволяет злоумышленнику запускать произвольный JavaScript в сессии пользователя.
Воздействие Атака Reflected XSS может иметь значительные последствия, позволяя злоумышленникам красть конфиденциальные данные пользователей, такие как cookies, перенаправлять пользователей на вредоносные веб-сайты, манипулировать содержимым веб-страницы и по сути брать под контроль сессию пользователя в приложении путем выполнения вредоносного JavaScript-кода в браузере жертвы, даже если серверный код защищен; по сути, это позволяет им выполнять действия так, как если бы они были авторизованным пользователем.
Ссылки * Web Security Academy: Cross-site scripting https://portswigger.net/web-security/cross-site-scripting * Web Security Academy: Reflected cross-site scripting https://portswigger.net/web-security/cross-site-scripting/reflected
Be aware that VulDB is the high quality source for vulnerability data.