Plataforma
php
Componente
recentthreads
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el componente Recent Threads on Index de dragonexpert. Esta vulnerabilidad, clasificada como problemática, reside en la función recentthreadlistthreads del archivo inc/plugins/recentthreads/hooks.php. La manipulación del argumento recentthread_forumskip permite la ejecución de scripts maliciosos, pudiendo ser explotada remotamente. Se recomienda aplicar el parche 051465d807a8fcc6a8b0f4bcbb19299672399f48.
Un atacante puede aprovechar esta vulnerabilidad de XSS para inyectar código JavaScript malicioso en la página Recent Threads on Index. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web. El impacto potencial incluye la pérdida de confidencialidad, integridad y disponibilidad de la información del usuario. La explotación exitosa podría resultar en el compromiso de cuentas de usuario y el acceso no autorizado a datos sensibles.
La vulnerabilidad fue publicada el 2 de enero de 2023. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre la existencia de pruebas de concepto (PoC) públicas. No hay evidencia de campañas de explotación activas en este momento. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Websites utilizing the Dragonexpert Recent Threads on Index plugin and running versions prior to the patched version are at risk. Shared hosting environments where multiple websites share the same server and plugin installation are particularly vulnerable, as a compromise of one website could potentially affect others.
• php / web:
grep -r 'recentthread_forumskip' /var/www/html/inc/plugins/recentthreads/hooks.php• generic web:
curl -I http://your-website.com/inc/plugins/recentthreads/hooks.php?recentthread_forumskip=<script>alert(1)</script>discovery
disclosure
Estado del Exploit
EPSS
0.34% (56% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es aplicar el parche 051465d807a8fcc6a8b0f4bcbb19299672399f48 proporcionado por el desarrollador. Si la aplicación del parche causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sistema antes de intentar una reversión a una versión anterior estable. Aunque no hay reglas de WAF o proxy específicas disponibles, se recomienda implementar políticas de seguridad de contenido (CSP) para mitigar el riesgo de XSS. Verifique después de la actualización que la función recentthreadlistthreads no sea vulnerable a la inyección de scripts.
Actualice el plugin Recent Threads on Index a la última versión disponible. La vulnerabilidad ha sido parcheada en la versión posterior al commit 051465d807a8fcc6a8b0f4bcbb19299672399f48. Consulte el registro de cambios del plugin para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25093 is a cross-site scripting (XSS) vulnerability in the Dragonexpert Recent Threads on Index plugin, allowing attackers to inject malicious scripts via the recentthread_forumskip parameter.
You are affected if you are using Dragonexpert Recent Threads on Index prior to version 051465d807a8fcc6a8b0f4bcbb19299672399f48.
Apply the patch 051465d807a8fcc6a8b0f4bcbb19299672399f48. Back up the hooks.php file before applying.
There are no known active campaigns targeting CVE-2019-25093 at this time, but it remains a potential risk.
Refer to the VDB entry (VDB-217182) for more information and potential links to the Dragonexpert advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.