Escanear gratis
LOWCVE-2025-15454CVSS 3.1

zhanglun lettura RSS ContentRender.tsx cross site scripting

Plataforma

react

Componente

cba7c19a4eafcb326d0e912adf132be3

Corregido en

0.1.1

0.1.2

0.1.3

0.1.4

0.1.5

0.1.6

0.1.7

0.1.8

0.1.9

0.1.23

0.1.11

0.1.12

0.1.13

0.1.14

0.1.15

0.1.16

0.1.17

0.1.18

0.1.19

0.1.20

0.1.21

0.1.22

0.1.23

AI Confidence: highNVDEPSS 0.0%Revisado: may 2026
Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en lettura, afectando a las versiones desde 0.1.0 hasta 0.1.22. Esta falla reside en el manejo del componente RSS Handler, específicamente en el archivo src/components/ArticleView/ContentRender.tsx. La explotación exitosa permite la ejecución remota de código malicioso, comprometiendo la integridad y confidencialidad de la aplicación. La versión 0.1.23 incluye la corrección para esta vulnerabilidad.

Impacto y Escenarios de Ataque

Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página web de lettura. Estos scripts pueden robar información sensible del usuario, como cookies de sesión o credenciales de inicio de sesión. Además, el atacante podría redirigir a los usuarios a sitios web maliciosos, realizar acciones en nombre del usuario o incluso tomar el control completo de la aplicación. La naturaleza remota de la explotación significa que el atacante no necesita acceso directo al servidor para lanzar el ataque. La publicación del exploit agrava el riesgo, facilitando su uso por parte de actores maliciosos.

Contexto de Explotación

La vulnerabilidad CVE-2025-15454 ha sido publicada y un Proof of Concept (PoC) está disponible públicamente, lo que aumenta significativamente el riesgo de explotación. La severidad se evalúa como LOW según el CVSS 3.1. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad del PoC sugiere que es probable que se aproveche en el futuro cercano. La vulnerabilidad fue publicada el 2026-01-05.

Quién Está en Riesgotraduciendo…

Applications utilizing the lettura React component in their RSS feed handling functionality are at risk. This includes websites and web applications that display RSS content, particularly those relying on external feeds. Shared hosting environments where multiple applications share the same codebase are also at increased risk, as a vulnerability in one application could potentially impact others.

Pasos de Deteccióntraduciendo…

• react: Inspect the src/components/ArticleView/ContentRender.tsx file for any unsanitized user input used in rendering the RSS feed. Look for patterns where data from the feed is directly inserted into the DOM without proper encoding.

// Example of potentially vulnerable code
const renderArticle = (article) => {
  return <div>{article.title}</div>; // Vulnerable if article.title is not sanitized
};

• generic web: Monitor access logs for unusual requests targeting the RSS feed endpoint. Look for requests containing suspicious characters or patterns commonly associated with XSS attacks.

grep -i '<script' /var/log/apache2/access.log

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.01% (3% percentil)

CISA SSVC

Explotaciónpoc
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C3.1LOWAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentecba7c19a4eafcb326d0e912adf132be3
Proveedorzhanglun
Rango afectadoCorregido en
0.1.0 – 0.1.00.1.1
0.1.1 – 0.1.10.1.2
0.1.2 – 0.1.20.1.3
0.1.3 – 0.1.30.1.4
0.1.4 – 0.1.40.1.5
0.1.5 – 0.1.50.1.6
0.1.6 – 0.1.60.1.7
0.1.7 – 0.1.70.1.8
0.1.8 – 0.1.80.1.9
0.1.9 – 0.1.90.1.23
0.1.10 – 0.1.100.1.11
0.1.11 – 0.1.110.1.12
0.1.12 – 0.1.120.1.13
0.1.13 – 0.1.130.1.14
0.1.14 – 0.1.140.1.15
0.1.15 – 0.1.150.1.16
0.1.16 – 0.1.160.1.17
0.1.17 – 0.1.170.1.18
0.1.18 – 0.1.180.1.19
0.1.19 – 0.1.190.1.20
0.1.20 – 0.1.200.1.21
0.1.21 – 0.1.210.1.22
0.1.22 – 0.1.220.1.23

Clasificación de Debilidad (CWE)

CWE-79CWE-94

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workarounds

La mitigación principal es actualizar a la versión 0.1.23 de lettura, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y sanitización exhaustivas de todas las entradas de usuario, así como la implementación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts no autorizados. Monitorear los logs de la aplicación en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la corrección revisando los logs y realizando pruebas de seguridad.

Cómo corregirlo

Actualice la versión de lettura a la versión 0.1.23 o superior. Esto corrige la vulnerabilidad de cross-site scripting en el componente RSS Handler. La actualización se puede realizar reemplazando el archivo src/components/ArticleView/ContentRender.tsx con la versión parcheada.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-15454 — XSS in lettura React Component?

CVE-2025-15454 is a cross-site scripting (XSS) vulnerability affecting versions 0.1.0–0.1.22 of the lettura React component, allowing remote code execution.

Am I affected by CVE-2025-15454 in lettura React Component?

You are affected if your application uses lettura versions 0.1.0 through 0.1.22 and handles RSS feeds without proper input sanitization.

How do I fix CVE-2025-15454 in lettura React Component?

Upgrade to version 0.1.23 of lettura. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.

Is CVE-2025-15454 being actively exploited?

While there's no confirmed active exploitation, the public availability of the exploit increases the risk of future attacks.

Where can I find the official lettura advisory for CVE-2025-15454?

Refer to the project's repository or documentation for the official advisory regarding CVE-2025-15454.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs