Plataforma
other
Componente
paymentsafe
Corregido en
2.5.27
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Eastnets PaymentSafe, específicamente en las versiones 2.5.26.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad afecta a un componente desconocido dentro de la funcionalidad de búsqueda BIC. La solución recomendada es actualizar a la versión 2.5.27.0.
La explotación exitosa de esta vulnerabilidad XSS podría permitir a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario legítimo. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, realizar transacciones fraudulentas, o incluso comprometer la infraestructura subyacente. Aunque la severidad CVSS es baja, el impacto potencial en la confianza del cliente y la reputación de la empresa es significativo.
La vulnerabilidad fue publicada el 16 de febrero de 2025. No se ha identificado una entrada en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSS implica un riesgo continuo hasta que se implemente la mitigación. La evaluación de la probabilidad de explotación es moderada, dada la disponibilidad de herramientas y técnicas para explotar vulnerabilidades XSS.
Organizations utilizing Eastnets PaymentSafe version 2.5.26.0, particularly those handling sensitive financial data or integrated with other critical systems, are at risk. Shared hosting environments where PaymentSafe is deployed alongside other applications could also be vulnerable.
disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1337 es actualizar a la versión 2.5.27.0 de PaymentSafe. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear patrones de ataque XSS conocidos. Monitorear los registros de la aplicación en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la mitigación verificando que la funcionalidad de búsqueda BIC no sea vulnerable a la inyección de scripts.
Actualice Eastnets PaymentSafe a la versión 2.5.27.0 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) en la función de búsqueda BIC. La actualización mitigará el riesgo de ejecución de scripts maliciosos en el navegador de los usuarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1337 is a cross-site scripting (XSS) vulnerability affecting Eastnets PaymentSafe version 2.5.26.0, allowing remote attackers to inject malicious scripts.
If you are using Eastnets PaymentSafe version 2.5.26.0, you are potentially affected by this vulnerability. Upgrade is recommended.
The recommended fix is to upgrade to version 2.5.27.0 or later. Consider input validation and WAF rules as interim measures.
There is no confirmed active exploitation of CVE-2025-1337 at this time, but the potential for exploitation exists.
Please refer to the Eastnets security advisory for detailed information and updates regarding CVE-2025-1337.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.