Plataforma
other
Componente
starsea-mall
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en starsea-mall, específicamente en las versiones 1.0 a 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación a través de la manipulación del argumento categoryName en el archivo /admin/categories/update. La actualización a la versión 1.0.1 resuelve este problema. La vulnerabilidad ha sido divulgada públicamente.
Un atacante puede explotar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios de administrador. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. El impacto es significativo, ya que un atacante podría comprometer la cuenta de administrador y obtener acceso a datos sensibles o realizar acciones no autorizadas dentro del sistema. La naturaleza remota de la explotación aumenta el riesgo, permitiendo a atacantes externos aprovechar esta falla.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha identificado como parte del CISA KEV catalog. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con diferentes niveles de habilidad. La fecha de publicación de la vulnerabilidad es 2025-01-12.
Administrators and users with access to the /admin/categories/update endpoint of StarSea Mall are at risk. Shared hosting environments where multiple users share the same StarSea Mall installation are particularly vulnerable, as an attacker could potentially compromise other users' accounts.
disclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar starsea-mall a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/categories/update. Además, se puede considerar la implementación de una Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique después de la actualización que la inyección de scripts maliciosos no sea posible manipulando el parámetro categoryName.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS. Validar y limpiar las entradas del usuario, especialmente el campo categoryName, antes de mostrarlo en la interfaz administrativa. Implementar políticas de seguridad de contenido (CSP) para mitigar el riesgo de XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0400 is a cross-site scripting (XSS) vulnerability affecting StarSea Mall versions 1.0–1.0, allowing attackers to inject malicious scripts via the /admin/categories/update endpoint.
You are affected if you are using StarSea Mall version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade StarSea Mall to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the categoryName parameter.
While no active exploitation campaigns have been confirmed, the public disclosure increases the risk of exploitation.
Refer to the StarSea Mall official website or security channels for the advisory related to CVE-2025-0400.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.