Plataforma
java
Componente
cachecloud
Corregido en
3.0.1
3.1.1
3.2.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en CacheCloud, afectando a las versiones desde la 3.0 hasta la 3.2.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos de los usuarios. La vulnerabilidad reside en la función 'index' del controlador ResourceController.java. La versión 3.2.1 corrige esta vulnerabilidad.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible. Dado que la explotación es remota y un Proof of Concept (PoC) ya está disponible públicamente, el riesgo de explotación es significativo. La falta de respuesta del proyecto a los informes iniciales agrava la situación, indicando una posible falta de atención a la seguridad.
Esta vulnerabilidad ha sido divulgada públicamente y un PoC está disponible, lo que aumenta significativamente la probabilidad de explotación. Aunque no se ha confirmado la explotación activa en entornos reales, la disponibilidad del PoC y la falta de respuesta del proyecto sugieren un riesgo elevado. La vulnerabilidad fue publicada el 29 de diciembre de 2025. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing SohuTV CacheCloud in versions 3.0 through 3.2.0 are at risk, particularly those with publicly accessible instances. Shared hosting environments where CacheCloud is deployed could expose multiple users to the vulnerability.
• java / server:
find /opt/sohutv/cachecloud/ -name "ResourceController.java"• generic web:
curl -I https://your-cachecloud-instance/resource/index | grep -i 'X-XSS-Protection'• generic web:
grep -i "<script" /var/log/apache2/access.logdisclosure
poc
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar CacheCloud a la versión 3.2.1, que incluye la corrección para esta vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento estrictos de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección XSS conocidos. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a intentos de explotación.
Actualizar CacheCloud a una versión posterior a 3.2.0, si existe, que corrija la vulnerabilidad de Cross-Site Scripting (XSS). Si no hay una versión disponible, revisar y sanitizar las entradas del usuario en el archivo src/main/java/com/sohu/cache/web/controller/ResourceController.java, específicamente en la función index, para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15203 is a cross-site scripting vulnerability affecting SohuTV CacheCloud versions 3.0-3.2.0, allowing attackers to inject malicious scripts via manipulation of the index function.
You are affected if you are using SohuTV CacheCloud versions 3.0, 3.1, or 3.2.0. Upgrade to 3.2.1 or later to mitigate the risk.
Upgrade to SohuTV CacheCloud version 3.2.1 or later. As a temporary measure, implement input validation and output encoding.
Yes, a public proof-of-concept exploit is available, indicating a potential for active exploitation.
As of the current date, there is no official advisory from SohuTV. Monitor their website and security mailing lists for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.