Plataforma
php
Componente
zzz
Corregido en
3403.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en DMadmin, afectando a versiones hasta 3403cafdb42537a648c30bf8cbc8148ec60437d1. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad se encuentra en la función 'Add' del archivo Admin/Controller/AddonsController.class.php. La versión 3403.0.1 incluye la corrección.
La vulnerabilidad XSS en DMadmin permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario autenticado. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de un administrador, permitiéndole acceder a información sensible o realizar acciones no autorizadas. La ejecución remota de la vulnerabilidad amplía su potencial impacto, ya que no requiere interacción directa del usuario más allá de visitar una página web comprometida. La falta de respuesta del proveedor dificulta la evaluación completa del riesgo y la disponibilidad de información adicional.
Esta vulnerabilidad ha sido públicamente divulgada, lo que aumenta el riesgo de explotación. La falta de respuesta del proveedor indica una posible falta de atención a la seguridad, lo que podría llevar a una mayor exposición. No se ha confirmado la explotación activa en campañas conocidas, pero la divulgación pública significa que los atacantes ya tienen conocimiento de la vulnerabilidad y pueden estar trabajando en la creación de exploits. La vulnerabilidad fue publicada el 15 de diciembre de 2025.
Organizations using vion707 DMadmin for managing their infrastructure or applications are at risk. This includes those relying on DMadmin for configuration management, monitoring, or other critical tasks. Shared hosting environments where multiple users share the same DMadmin instance are particularly vulnerable, as a compromise of one user could potentially affect others.
• php: Examine the Admin/Controller/AddonsController.class.php file for any unusual or unexpected code.
grep -r 'eval(' /path/to/DMadmin/Admin/Controller/• generic web: Monitor access logs for suspicious requests targeting the Add function with unusual parameters.
grep 'Admin/Controller/AddonsController.class.php' /var/log/apache2/access.log• generic web: Check response headers for signs of script injection.
curl -I <DMadmin_URL>/Admin/Controller/AddonsController.class.php | grep Content-TypePublic Disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14722 es actualizar DMadmin a la versión 3403.0.1 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear ataques XSS puede proporcionar una capa adicional de protección. Monitorear los registros de acceso y error en busca de patrones sospechosos, como solicitudes con caracteres inusuales o inyecciones de código, también puede ayudar a detectar y responder a posibles ataques. Dado que el proveedor no ha respondido, la verificación tras la actualización debe incluir pruebas manuales de inyección XSS.
Actualice DMadmin a una versión posterior a 3403cafdb42537a648c30bf8cbc8148ec60437d1. Si no hay actualizaciones disponibles, revise y sanitize las entradas del usuario en el archivo Admin/Controller/AddonsController.class.php, función Add, para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14722 is a cross-site scripting (XSS) vulnerability in vion707 DMadmin versions up to 3403cafdb42537a648c30bf8cbc8148ec60437d1, allowing attackers to inject malicious scripts.
You are affected if you are using vion707 DMadmin versions prior to 3403.0.1. Check your version and upgrade if necessary.
Upgrade to version 3403.0.1 or later. As a temporary workaround, implement input validation and output encoding.
While there's no confirmed active exploitation, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Due to the vendor's lack of response, an official advisory may not be available. Monitor security news sources for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.