CVE-2025-4011: Redmine Custom Query cross site scripting
Description
A vulnerability has been found in Redmine 6.0.0/6.0.1/6.0.2/6.0.3 and classified as problematic. This vulnerability affects unknown code of the component Custom Query Handler. The manipulation of the argument Name leads to cross site scripting. The attack can be initiated remotely. Upgrading to version 6.0.4 is able to address this issue. It is recommended to upgrade the affected component. In Redmine 6.0.0/6.0.1/6.0.2/6.0.3 wurde eine problematische Schwachstelle gefunden. Hierbei betrifft es unbekannten Programmcode der Komponente Custom Query Handler. Durch die Manipulation des Arguments Name mit unbekannten Daten kann eine cross site scripting-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Ein Aktualisieren auf die Version 6.0.4 vermag dieses Problem zu lösen. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Classification
CVE ID: CVE-2025-4011
CVSS Base Severity: MEDIUM
CVSS Base Score: 5.1
CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Affected Products
Vendor: n/a
Product: Redmine
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.03% (probability of being exploited)
EPSS Percentile: 8.72% (scored less or equal to compared to others)
EPSS Date: 2025-05-27 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-4011https://vuldb.com/?id.306364
https://vuldb.com/?ctiid.306364
https://vuldb.com/?submit.558240
https://www.redmine.org/issues/42238
https://www.redmine.org/projects/redmine/wiki/Security_Advisories
https://www.redmine.org/versions/206