Plataforma
other
Componente
warehouse
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en warehouse Backend, versiones 1.0 a 1.0. Esta vulnerabilidad afecta la funcionalidad del archivo /resources/..;/inport/updateInport, permitiendo la inyección de scripts maliciosos a través del parámetro 'remark'. La explotación exitosa podría resultar en la ejecución de código arbitrario en el navegador de un usuario. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad XSS manipulando el parámetro 'remark' en la URL /resources/..;/inport/updateInport. Esto permite inyectar código JavaScript malicioso que se ejecutará en el contexto del navegador de la víctima. El impacto puede variar desde el robo de cookies y credenciales de sesión hasta la redirección a sitios web maliciosos o la modificación del contenido de la página web. La naturaleza de XSS permite a los atacantes realizar ataques de phishing dirigidos o incluso comprometer la integridad de la aplicación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha registrado en KEV ni se ha identificado un EPSS score. La disponibilidad de información pública sobre la vulnerabilidad podría facilitar la creación y distribución de pruebas de concepto (PoC). Publicado el 2025-01-12.
Organizations utilizing Longpi1 Warehouse version 1.0, particularly those with publicly accessible instances of the /resources/..;/inport/updateInport endpoint, are at risk. Shared hosting environments where multiple users share the same instance of Longpi1 Warehouse are also particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar warehouse Backend a la versión 1.0.1, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario, especialmente el parámetro 'remark'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones sospechosos en la URL. Verificar que la actualización se haya aplicado correctamente revisando la versión del software instalado.
Actualizar a una versión parcheada o aplicar las medidas de seguridad proporcionadas por el proveedor para mitigar la vulnerabilidad XSS. Validar y limpiar las entradas del usuario, especialmente el campo 'remark', para evitar la inyección de código malicioso. Si no hay parche disponible, considerar deshabilitar o restringir el acceso a la funcionalidad afectada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0398 is a cross-site scripting (XSS) vulnerability affecting Longpi1 Warehouse version 1.0, allowing attackers to inject malicious scripts through the 'remark' parameter.
If you are using Longpi1 Warehouse version 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade Longpi1 Warehouse to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'remark' parameter.
While there's no confirmed active exploitation at this time, the public disclosure and ease of exploitation suggest it could be targeted.
Refer to the Longpi1 Warehouse official website or security advisories for the latest information and updates regarding CVE-2025-0398.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.