Plataforma
php
Componente
open-media-player
Corregido en
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Open Media Player, afectando a las versiones desde 1.0 hasta 1.5.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La actualización a la versión 1.5.1 resuelve esta vulnerabilidad, aplicando el parche 3f39f2d68d11895929c04f7b49b97a734ae7cd1f.
La vulnerabilidad XSS en Open Media Player permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o realizar acciones en nombre del usuario afectado. La severidad es baja, pero el impacto potencial puede ser significativo si la aplicación se utiliza en un entorno crítico.
Esta vulnerabilidad fue publicada en 2022-12-27. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La existencia de un parche disponible indica que la vulnerabilidad es conocida y se recomienda su aplicación lo antes posible.
Organizations using Open Media Player in their web applications, particularly those relying on older versions (1.0-1.5.0), are at risk. Shared hosting environments where multiple users share the same Open Media Player installation are especially vulnerable, as an attacker could potentially compromise other users' accounts.
• php: Examine application logs for requests to /application/controllers/timedtext.php with unusual or malformed ttml_url parameters. Use grep to search for patterns indicative of XSS payloads within these requests.
grep 'ttml_url=[^a-zA-Z0-9]' /path/to/access.log• generic web: Use curl to test the endpoint /application/controllers/timedtext.php with a crafted ttml_url parameter containing a basic XSS payload (e.g., <script>alert(1)</script>).
curl 'http://example.com/application/controllers/timedtext.php?ttml_url=<script>alert(1)</script>'discovery
disclosure
Estado del Exploit
EPSS
1.02% (77% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Open Media Player a la versión 1.5.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro ttml_url. Monitorear los logs de la aplicación en busca de intentos de inyección de código JavaScript también puede ayudar a detectar y prevenir ataques.
Actualice Open Media Player a la versión 1.5.1 o superior. Esta versión contiene una corrección para la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo timedtext.php. La actualización mitigará el riesgo de ataques remotos que exploten esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25086 is a cross-site scripting (XSS) vulnerability in Open Media Player versions 1.0 through 1.5.0, allowing attackers to inject malicious scripts.
You are affected if you are using Open Media Player versions 1.0, 1.1, 1.2, 1.3, or 1.4.0. Upgrade to 1.5.1 or later to resolve the issue.
Upgrade Open Media Player to version 1.5.1 or later. Apply the patch 3f39f2d68d11895929c04f7b49b97a734ae7cd1f.
There is currently no evidence of active exploitation campaigns targeting CVE-2019-25086.
Refer to VDB-216862 for details on this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.