Plataforma
java
Componente
mooc
Corregido en
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en yourmaileyes MOOC, afectando a las versiones desde 1.0 hasta 1.17. Esta falla reside en la función 'subreview' del archivo 'mooc/controller/MainController.java' dentro del componente 'Submission Handler'. La manipulación del argumento 'review' permite la inyección de código malicioso, con potencial de ejecución remota.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en la página web de yourmaileyes MOOC. Esto podría permitir el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. El impacto se amplifica si la plataforma se utiliza en entornos educativos donde la confianza y la seguridad de los datos de los estudiantes son cruciales. La existencia de un Proof of Concept (PoC) público facilita la explotación por parte de actores maliciosos con diferentes niveles de habilidad.
La vulnerabilidad CVE-2025-15134 ha sido publicada y un Proof of Concept (PoC) está disponible públicamente, lo que indica una alta probabilidad de explotación. La falta de respuesta por parte del proyecto youmaileyes MOOC aumenta el riesgo. La fecha de publicación es 2025-12-28.
Organizations using yourmaileyes MOOC for online learning platforms, particularly those running versions 1.0 through 1.17, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a successful exploit could potentially impact other users on the same server.
• java / server:
find /var/www/yourmaileyes/mooc/controller/ -name MainController.java -print• java / server:
grep -r 'subreview' /var/www/yourmaileyes/mooc/controller/• generic web:
Check for unusual JavaScript code being injected into pages via URL parameters. Use browser developer tools to inspect network requests and responses for suspicious scripts.
• generic web:
Review access logs for requests containing unusual characters or patterns in the review parameter.
disclosure
poc
patch
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar yourmaileyes MOOC a la versión 1.17.1, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento estrictos de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de script sospechosos. Verifique después de la actualización que la función 'subreview' no sea vulnerable mediante pruebas de inyección XSS.
Actualizar la aplicación yourmaileyes MOOC a una versión posterior a la 1.17 que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el componente Submission Handler. Validar y sanitizar las entradas del usuario, especialmente el parámetro 'review', para prevenir la inyección de código malicioso. Implementar medidas de seguridad adicionales como la codificación de salida para mitigar el riesgo de XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15134 is a cross-site scripting (XSS) vulnerability affecting yourmaileyes MOOC versions 1.0 to 1.17, allowing attackers to inject malicious scripts.
You are affected if you are using yourmaileyes MOOC versions 1.0 through 1.17. Upgrade to version 1.17.1 or later to mitigate the risk.
Upgrade your yourmaileyes MOOC installation to version 1.17.1 or later. Consider input validation and output encoding as a temporary workaround.
A public proof-of-concept exists, indicating a potential for active exploitation. Prioritize patching to reduce your risk.
Refer to the yourmaileyes project's official website or security advisories for the latest information and updates regarding CVE-2025-15134.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.