Plataforma
other
Componente
product-review
Corregido en
91.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema de reseñas de productos product-review 商品评价系统. Esta falla permite a un atacante manipular el contenido de los argumentos, lo que puede resultar en la ejecución de scripts maliciosos en el navegador de un usuario. La vulnerabilidad afecta a versiones hasta 91ead6890b4065bb45b7602d0d73348e75cb4639, y se recomienda actualizar a la versión 91.0.1 para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas de reseñas del producto. Estos scripts podrían robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o realizar acciones en nombre del usuario sin su consentimiento. El impacto potencial incluye el robo de información confidencial, la manipulación de datos y la pérdida de la confianza del usuario. La disponibilidad de un Proof of Concept (PoC) público aumenta significativamente el riesgo de explotación, ya que facilita a los atacantes la ejecución de ataques.
Esta vulnerabilidad ha sido divulgada públicamente y se ha publicado un Proof of Concept (PoC), lo que indica una alta probabilidad de explotación. Aunque la CVSS score es LOW (3.5), la disponibilidad del PoC y la falta de respuesta del proveedor aumentan el riesgo. No se ha confirmado la explotación activa en campañas conocidas, pero la vulnerabilidad debe ser parcheada lo antes posible.
Organizations utilizing Product-Review 商品评价系统 in their deployments are at risk, particularly those with legacy configurations or those who haven't implemented robust input validation and output encoding practices. Shared hosting environments where multiple users share the same instance of the application are also at increased risk.
• linux / server: Monitor access logs for unusual GET/POST requests to the 'Write a Review' endpoint containing suspicious characters (e.g., <script>, <img src=x onerror=alert(1)>).
grep -i '<script' /var/log/apache2/access.log• generic web: Use curl to test the 'Write a Review' endpoint with a simple XSS payload and observe the response for signs of script execution.
curl -X POST -d '<script>alert(1)</script>' http://<target>/write_review• wordpress / composer / npm: Inspect the 'Write a Review' component code for any instances of unsanitized user input being directly output to the page. • database (mysql, redis, mongodb, postgresql): While the vulnerability isn't directly in the database, monitor database queries related to user input for unusual patterns that might indicate an attacker attempting to exploit the XSS vulnerability to gain database access. • windows / supply-chain: Review scheduled tasks and autoruns entries for any suspicious scripts that might be related to the Product-Review 商品评价系统.
disclosure
poc
patch
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema product-review 商品评价系统 a la versión 91.0.1 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas del usuario en el lado del servidor. Además, se recomienda implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts. Monitoree los registros de acceso y error en busca de patrones sospechosos, como solicitudes con caracteres inusuales o intentos de ejecutar scripts.
Actualice el componente product-review 商品评价系统 a una versión posterior a 91ead6890b4065bb45b7602d0d73348e75cb4639. Si no hay una versión disponible, considere deshabilitar o eliminar el componente hasta que se publique una solución. Implemente medidas de saneamiento de entrada para el argumento 'content' para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15248 is a cross-site scripting (XSS) vulnerability in Product-Review 商品评价系统 allowing attackers to inject malicious scripts. It affects versions up to 91ead6890b4065bb45b7602d0d73348e75cb4639.
You are affected if you are using Product-Review 商品评价系统 versions prior to 91.0.1. Check your current version and upgrade immediately.
Upgrade Product-Review 商品评价系统 to version 91.0.1 or later. Implement input validation and output encoding as an interim measure.
A public exploit exists, so active exploitation is possible. Monitor your systems and apply the patch promptly.
The project has not responded to the issue report. Check the project's website or GitHub repository for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.