CVE-2025-60917 – Cross-Site Scripting in Network ORT
Metadaten
| CVE-2025-60917 |
| OpenAtlas |
| Austrian Academy of Sciences Österreichische Akademie der Wissenschaften |
| <= 8.12.0 |
| 8.13.0 |
| 5.1 Medium CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N |
| CWE-79 |
| OpenAtlas Release Notes |
| 08.August.2025 |
| Ferat Aydin |
Schwachstellenbeschreibung
In der OpenAtlas-Ansicht “/overview/network/” werden Werte aus den Farbeingabefeldern (z. B. #place für Ort) ungefiltert in den HTML zurückgeschrieben. Dadurch gelangen Benutzereingaben in den HTML∕Attribut-Kontext. Enthält der Wert
Auswirkungen
- Ausführung von JavaScript im Kontext der Applikation
Hersteller-Statement
“Diese Werte werden jetzt mit einer regex geprüft”
Empfehlungen
- Update auf Aktuelle Version[OpenAtlas Version]
Proof of Concept / Beweisführung
#FF0000<script></script>
#FF0000<><script>1</script>"onclick=alert(sec4you)><svg/onload=alert(1)>
#FF0000<script></script>"onclick=alert(1)><svg/onload=alert(1)>
Diese Schwachstelle wurde im Rahmen eines Penetrationstests einer internen Infrastruktur entdeckt.
Zeitleiste
| 2025 | Ereignis | Anmerkung |
|---|---|---|
| Entdeckung der Schwachstelle | Schwachstelle im Rahmen eines On-Premise-Tests entdeckt | |
| Versenden Bericht | Bericht an hersteller gesendet | |
| Review und Rückmeldung | Hersteller informiert die Researcher das die Schwachstelle behoben wurde | |
| MITRE CVE | Erhalte der CVE von MITRE |
Dank & Annerkennung
Wir bedanken uns beim OpenAtlas-Team für die sehr gute Kommunikation, die schnelle Bereitstellung des Fixes und die vorbildliche Einhaltung der Koordinierten Offenlegung.