Informazioni sul CVE-2025-27102
Agate vulnerable to HTML injection in user signup – Administrator phishing risk
CWE ID: CWE-79
Base Score (CVSS): 5.4
CVE: CVE-2025-27102
Descrizione: Agate è il server software di autenticazione centrale per applicazioni di epidemiologia OBiBa. Prima di versione 3.3.0, quando si registrava un account Agate, era possibile iniettare codice HTML arbitrario nel nome e cognome di un utente. Questo codice HTML veniva quindi renderizzato nell’email inviata agli utenti amministrativi. Il servizio Agate invia questa email e appare affidabile, rendendo questo un significativo rischio per gli attacchi di phishing. Gli utenti amministrativi sono colpiti, poiché possono essere bersaglio da utenti non autenticati. Versione 3.3.0 risolve questo problema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/obiba/agate/security/advisories/GHSA-v3wj-7vj5-xj5v
- https://github.com/obiba/agate/releases/tag/3.3.0
Prodotti interessati
- obiba – agate
Relazioni con altri prodotti
Produttore:obiba
Prodotto: agate
Anno: 2025
CWE: CWE-79
CVSS: 5.4