Plataforma
other
Componente
affine
Corregido en
0.24.1
0.24.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en AFFiNE, afectando a las versiones 0.24.0 y 0.24.1. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el componente Avatar Upload Image Endpoint y se puede explotar de forma remota. La versión 0.24.2 corrige esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible. Dado que el exploit es público, el riesgo de explotación es significativo. La falta de respuesta del proveedor dificulta la evaluación completa del impacto y la disponibilidad de contramedidas adicionales.
La vulnerabilidad CVE-2025-11945 tiene un exploit público disponible, lo que aumenta significativamente la probabilidad de explotación. Aunque la severidad CVSS es baja (3.5), el impacto potencial en la confidencialidad e integridad de los datos justifica una atención inmediata. La falta de respuesta del proveedor dificulta la evaluación completa del riesgo y la disponibilidad de contramedidas adicionales. No se ha registrado en KEV ni se ha confirmado explotación activa a la fecha de publicación.
AFFiNE deployments using versions 0.24.0 and 0.24.1 are at risk, particularly those handling user-uploaded content. Shared hosting environments where AFFiNE is installed alongside other applications are also vulnerable, as a compromised AFFiNE instance could potentially be used to attack other tenants.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar AFFiNE a la versión 0.24.2, que incluye la corrección para esta vulnerabilidad XSS. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario en el endpoint de carga de imágenes de avatar. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts sospechosos también puede ayudar a mitigar el riesgo. Monitorear los logs de la aplicación en busca de patrones de inyección de scripts es crucial.
Actualice AFFiNE a una versión posterior a 0.24.1 que contenga la corrección para la vulnerabilidad XSS en el endpoint de carga de avatares. Consulte las notas de la versión o el sitio web del proveedor para obtener más detalles sobre la actualización y las medidas de seguridad adicionales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-11945 es una vulnerabilidad de Cross-Site Scripting (XSS) en AFFiNE versiones 0.24.0 y 0.24.1 que permite la ejecución de scripts maliciosos a través del endpoint de carga de imágenes de avatar.
Sí, si está utilizando AFFiNE versión 0.24.0 o 0.24.1, es vulnerable a esta vulnerabilidad XSS.
Actualice AFFiNE a la versión 0.24.2 para corregir esta vulnerabilidad. Si la actualización no es posible, implemente medidas de seguridad adicionales como validación de entrada y un WAF.
Existe un exploit público disponible, lo que sugiere que la vulnerabilidad podría estar siendo explotada activamente.
Debido a la falta de respuesta del proveedor, no hay una advisory oficial disponible. Consulte fuentes de seguridad externas para obtener más información.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.