Plataforma
java
Componente
org.mapfish.print:print-lib
Corregido en
3.24.1
3.24
La vulnerabilidad CVE-2020-15231 es una falla de Cross-Site Scripting (XSS) presente en la biblioteca print-lib de org.mapfish.print. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través del soporte JSONP, comprometiendo la seguridad de las aplicaciones que utilizan esta biblioteca. Afecta a versiones de print-lib menores o iguales a 3.9.0. La solución recomendada es actualizar a la versión 3.24 o superior.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto es significativo, ya que un atacante podría comprometer la confidencialidad e integridad de la información del usuario. La inyección de scripts puede ser utilizada para realizar ataques de phishing dirigidos o para robar credenciales de acceso. La vulnerabilidad se basa en la falta de validación adecuada de la entrada JSONP, permitiendo la inyección de código malicioso.
La vulnerabilidad fue descubierta y parcheada en julio de 2020. No se ha reportado explotación activa de esta vulnerabilidad en entornos de producción, pero la naturaleza crítica de la falla (CVSS 9.3) indica un alto riesgo potencial. No se ha añadido a la lista KEV de CISA. La vulnerabilidad se basa en un patrón común de inyección XSS, lo que sugiere que podría ser explotada por atacantes con conocimientos técnicos.
Organizations utilizing mapfish-print in their applications, particularly those running versions 3.9.0 or earlier, are at risk. This includes deployments where user-supplied data is processed and displayed without proper sanitization, and those relying on JSONP for data exchange.
disclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
Vector CVSS
La mitigación principal para CVE-2020-15231 es actualizar la biblioteca print-lib a la versión 3.24 o superior, donde la vulnerabilidad ha sido corregida. Dado que no se proporcionan workarounds, la actualización es la única solución efectiva. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente el código que utiliza la biblioteca print-lib para identificar posibles puntos de entrada de datos no validados. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el soporte JSONP se maneja de forma segura y que no se pueden inyectar scripts maliciosos.
Actualice la biblioteca mapfish-print a la versión 3.24 o superior. Esta versión contiene la corrección para la vulnerabilidad de Cross-site scripting. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-15231 is a critical Cross-Site Scripting (XSS) vulnerability in mapfish-print versions up to 3.9.0, allowing attackers to inject malicious JavaScript via JSONP.
Yes, if you are using mapfish-print versions 3.9.0 or earlier, you are affected by this vulnerability and should upgrade immediately.
Upgrade to version 3.24 or later of mapfish-print. There are no workarounds available for this vulnerability.
While no active exploitation campaigns have been publicly reported, the ease of exploitation makes it a potential target.
Refer to the mapfish-print GitHub pull request: https://github.com/mapfish/mapfish-print/pull/1397
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.