Plataforma
php
Componente
mautic/core
Corregido en
4.3.0
4.3.0
La vulnerabilidad CVE-2022-25772 es una falla de Cross-Site Scripting (XSS) presente en Mautic Core hasta la versión 4.3.0-rc. Esta falla permite a un atacante inyectar código malicioso que se ejecuta en el navegador de otros usuarios, comprometiendo la confidencialidad y la integridad de la información. Se recomienda actualizar a la versión 4.3.0 para solucionar este problema.
Esta vulnerabilidad XSS se aprovecha de la falta de filtrado adecuado en la visualización de metadatos de seguimiento en Mautic. Un atacante puede inyectar código JavaScript malicioso en los metadatos de seguimiento, que luego se ejecutará en el navegador de cualquier usuario que acceda a la página afectada. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso tomar el control completo de la cuenta del usuario. El impacto potencial es significativo, especialmente en entornos donde Mautic se utiliza para gestionar campañas de marketing y recopilar información sensible de los usuarios.
Esta vulnerabilidad ha sido publicada públicamente el 25 de mayo de 2022. No se han reportado casos de explotación activa a gran escala, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas Mautic en busca de actividad sospechosa.
Organizations utilizing Mautic Core for marketing automation, particularly those relying on email tracking features, are at risk. Specifically, those running older, unpatched versions of Mautic (≤4.3.0-rc) are highly vulnerable. Shared hosting environments where multiple Mautic instances share resources may also be at increased risk due to the potential for cross-site contamination.
• php: Examine Mautic Core code for instances where tracking pixel metadata is displayed without proper sanitization. Search for functions related to HTML output and ensure they are using appropriate escaping mechanisms. • generic web: Monitor Mautic instance access logs for unusual requests containing potentially malicious tracking pixel data. Look for patterns indicative of XSS attempts. • generic web: Use a web application scanner to identify potential XSS vulnerabilities in Mautic, specifically targeting areas related to tracking pixel functionality.
disclosure
Estado del Exploit
EPSS
2.07% (84% percentil)
Vector CVSS
La mitigación principal para CVE-2022-25772 es actualizar a la versión 4.3.0 de Mautic Core. Esta versión incluye una corrección para la vulnerabilidad XSS. Dado que no existen workarounds, la actualización es la única solución viable. Antes de actualizar, se recomienda realizar una copia de seguridad completa de la base de datos y los archivos de Mautic. Después de la actualización, verifique que todas las funcionalidades de Mautic estén operando correctamente y que no haya conflictos con otros plugins o extensiones.
Actualice Mautic a la versión 4.3.0 o superior. Esta versión corrige la vulnerabilidad XSS en el componente de seguimiento web. La actualización se puede realizar a través del panel de administración de Mautic o descargando la última versión del sitio web oficial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-25772 is a critical XSS vulnerability in Mautic Core versions up to 4.3.0-rc, allowing attackers to inject malicious scripts via tracking pixel metadata.
Yes, if you are running Mautic Core versions 4.3.0-rc or earlier, you are vulnerable to this XSS attack.
Upgrade Mautic Core to version 4.3.0 or later to patch the vulnerability. There are no known workarounds.
While there's no confirmed active exploitation, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the official Mautic security advisory at [[email protected]] for more information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.