CVE-2025-61996 – OPEXUS FOIAXpress stored XSS via annual report template

CVE ID : CVE-2025-61996

Published : Oct. 8, 2025, 12:15 a.m. | 20 minutes ago

Description : OPEXUS FOIAXpress before 11.13.3.0 allows an administrative user to inject JavaScript or other content within the Annual Report Template. Injected content is executed in the context of other users when they generate an Annual Report. Successful exploitation allows the administrative user to perform actions on behalf of the target, including stealing session cookies, user credentials, or sensitive data.

Severity: 4.8 | MEDIUM

Visit the link for more details, such as CVSS details, affected products, timeline, and more… 

آسیب‌پذیری‌های جدید و وصله‌های امنیتی به‌صورت مداوم منتشر می‌شوند و عدم بروزرسانی به‌موقع می‌تواند امنیت سرویس‌های حیاتی را به خطر بیندازد. خدمات مدیریت و پشتیبانی سرور آفاق هاستینگ شامل پایش امنیتی، بروزرسانی نرم‌افزارها، نصب Patchهای امنیتی و سخت‌سازی سرورها است.

خدمات مدیریت و امنیت سرور

نوشته های مشابه

CVE-2026-49869 – Kestra: Unauthenticated Remote Code Execution via Authentication Bypass in `AuthenticationFilter`

CVE-2026-45807 – Kestra: Path traversal via URL-encoded “%2E%2E” in execution and namespace file endpoints allows arbitrary file read

CVE-2026-49984 – Kestra: Path traversal in `LocalStorage` allows any authenticated user to read arbitrary server files via the execution file-download API (`..` bypasses the `..` guard)

CVE-2026-53576 – Kestra: Unauthenticated RCE via /configs path-suffix auth-filter bypass