Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2025-14320 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2025 |
| Data publikacji | 2026-05-04 |
| Producent | Tegsoft |
| Produkt | Online Support Application |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Niewłaściwa neutralizacja danych wejściowych podczas generowania strony WWW (cross-site scripting) w aplikacji Tegsoft Management and Information Services Trade Limited Company Online Support Application umożliwia atak Reflected XSS.
Problem dotyczy Online Support Application: od wersji V3 do 31122025.
Wymagane działania
Niezwłocznie zaktualizuj aplikację Tegsoft Online Support Application do wersji zawierającej poprawkę bezpieczeństwa. Do czasu wdrożenia patcha rozważ wprowadzenie reguł WAF blokujących nietypowe znaki w parametrach URL aplikacji oraz uświadom użytkowników o ryzyku klikania w podejrzane linki. Monitoruj logi serwera webowego pod kątem żądań ze złośliwym kodem JavaScript w parametrach.
Kogo dotyczy?
Podatność dotyczy produktu Online Support Application firmy Tegsoft. Sprawdź czy Twoja organizacja korzysta z tej aplikacji w wersjach od V3 do 31122025 i niezwłocznie zaktualizuj instalację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
