Plataforma
other
Componente
movidesk
Corregido en
25.01.22.245a473c54
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Movidesk hasta la versión 25.01.22. Esta problemática permite a un atacante inyectar scripts maliciosos en la aplicación, comprometiendo potencialmente la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la funcionalidad de edición de perfil, específicamente al argumento 'username'. La actualización a la versión 25.01.22.245a473c54 resuelve esta vulnerabilidad.
La explotación exitosa de esta vulnerabilidad de XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible almacenada en la aplicación. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de un usuario y las envíe a un servidor controlado por el atacante, permitiéndole acceder a la cuenta del usuario. La naturaleza remota de la explotación amplía el alcance del riesgo, ya que cualquier usuario con acceso a la funcionalidad de edición de perfil es potencialmente vulnerable.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se han reportado campañas de explotación activas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad podría facilitar su explotación por parte de actores maliciosos. La baja puntuación CVSS (3.5) indica un riesgo relativamente bajo, pero la facilidad de explotación y el potencial impacto justifican la aplicación de medidas de mitigación.
Organizations using Movidesk for remote access and support are particularly at risk, especially those with legacy configurations or shared hosting environments. Users who frequently modify their profile information through the /Account/EditProfile endpoint are also directly exposed.
• linux / server:
journalctl -u movidesk -f | grep -i 'username='• generic web:
curl -s 'https://<movidesk_server>/Account/EditProfile?username=<malicious_script>' | grep -i '<script>' # Check for script injection in responsedisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Movidesk a la versión 25.01.22.245a473c54. Antes de realizar la actualización, se recomienda realizar una copia de seguridad completa de la base de datos y la configuración de Movidesk. Si la actualización causa problemas de compatibilidad, considere la posibilidad de realizar una reversión a una versión anterior estable, aunque esto no solucionará la vulnerabilidad subyacente. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la XSS, restringiendo las fuentes de las que se pueden cargar los scripts. Verifique después de la actualización que la edición de perfil no permita la inyección de código malicioso al verificar que el argumento 'username' se sane correctamente.
Actualice Movidesk a la versión 25.01.22.245a473c54 o posterior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) en la edición de perfiles. Se recomienda realizar la actualización lo antes posible para evitar posibles ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0971 is a cross-site scripting (XSS) vulnerability affecting Zenvia Movidesk versions 25.01.0 through 25.01.22, allowing attackers to inject malicious scripts.
You are affected if you are using Movidesk versions 25.01.0 to 25.01.22 and have not upgraded to version 25.01.22.245a473c54.
Upgrade Movidesk to version 25.01.22.245a473c54 or later. Implement input validation and consider using a WAF for temporary protection.
While there's no confirmed active exploitation, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to the Zenvia Movidesk security advisories for details and updates regarding CVE-2025-0971.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.