Plataforma
java
Componente
cachecloud
Corregido en
3.0.1
3.1.1
3.2.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en SohuTV CacheCloud, afectando a las versiones desde la 3.0 hasta la 3.2.0. Esta falla, presente en la función taskQueueList del archivo src/main/java/com/sohu/cache/web/controller/TaskController.java, permite a un atacante inyectar scripts maliciosos. La vulnerabilidad es explotable de forma remota y el exploit ha sido publicado, lo que aumenta el riesgo de ataques.
Un atacante puede explotar esta vulnerabilidad XSS para inyectar código JavaScript malicioso en las páginas web de CacheCloud. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. La ejecución de código en el navegador del usuario podría comprometer la confidencialidad, integridad y disponibilidad de la información sensible. La naturaleza remota de la explotación facilita el ataque, y la disponibilidad pública del exploit agrava la situación, aumentando la probabilidad de que sea utilizado en ataques dirigidos o masivos.
El exploit para esta vulnerabilidad ha sido publicado públicamente, lo que aumenta significativamente el riesgo de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y la disponibilidad pública del exploit la convierten en una amenaza real. No se ha confirmado explotación activa a la fecha de publicación, pero la falta de respuesta por parte del proyecto aumenta la preocupación. La vulnerabilidad fue reportada inicialmente, pero no se ha recibido respuesta del equipo de CacheCloud.
Organizations using SohuTV CacheCloud versions 3.0 through 3.2.0 are at risk, particularly those with publicly accessible instances or those handling sensitive user data. Shared hosting environments where CacheCloud is deployed could be especially vulnerable due to the potential for cross-tenant exploitation.
• java / server:
find /opt/sohutv/cachecloud/ -name "TaskController.java"• java / server:
grep -r "taskQueueList" /opt/sohutv/cachecloud/• generic web:
curl -I http://your-cachecloud-server/taskQueueList• generic web:
grep -A 10 "taskQueueList" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar CacheCloud a la versión 3.2.1, que incluye la corrección para la falla XSS. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección XSS. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a posibles ataques.
Actualice CacheCloud a una versión posterior a la 3.2.0, si está disponible, para corregir la vulnerabilidad XSS. Si no hay una versión corregida disponible, revise y filtre las entradas de la función taskQueueList en TaskController.java para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15202 is a cross-site scripting (XSS) vulnerability affecting SohuTV CacheCloud versions 3.0-3.2.0, allowing attackers to inject malicious scripts.
If you are using SohuTV CacheCloud versions 3.0, 3.1, or 3.2.0, you are potentially affected by this vulnerability.
Upgrade to SohuTV CacheCloud version 3.2.1 or later to resolve this XSS vulnerability. Consider input validation and WAF rules as temporary mitigations.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Please refer to the SohuTV project's official website or security channels for the advisory related to CVE-2025-15202.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.