Plataforma
vue
Componente
public_exp
Corregido en
3.0.1
3.1.1
3.2.1
3.3.1
3.4.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la biblioteca vue3-element-admin, afectando a las versiones desde la 3.0 hasta la 3.4.0. Esta falla reside en el manejo del archivo src/views/system/notice/index.vue dentro del componente Notice Handler, permitiendo la inyección de código malicioso. La explotación es posible de forma remota y un PoC público ya está disponible, lo que aumenta el riesgo. La actualización a la versión 3.4.1 soluciona esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página web gestionada por vue3-element-admin. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web falsos (phishing), o la modificación del contenido de la página para mostrar información engañosa. El impacto se amplifica si la aplicación se utiliza para gestionar información sensible o si se integra con otros sistemas, ya que el atacante podría potencialmente obtener acceso a datos confidenciales o realizar acciones no autorizadas. La disponibilidad de un PoC público facilita la explotación por parte de actores maliciosos con diferentes niveles de habilidad.
Esta vulnerabilidad ha sido divulgada públicamente y un PoC está disponible, lo que indica una alta probabilidad de explotación. La falta de respuesta por parte del proveedor aumenta la preocupación, ya que no se han proporcionado recomendaciones de mitigación adicionales. La vulnerabilidad fue publicada el 31 de diciembre de 2025. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Applications utilizing vue3-element-admin versions 3.0 through 3.4.0 are at risk. This includes projects that directly integrate the component or rely on it as a dependency. Shared hosting environments where multiple applications share the same codebase are particularly vulnerable, as a compromise of one application could potentially affect others.
• vue: Inspect the src/views/system/notice/index.vue file for suspicious JavaScript code or unusual DOM manipulation patterns.
• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript payloads targeting the Notice Handler component.
• generic web: Use browser developer tools to identify any unexpected JavaScript execution or DOM modifications on the Notice Handler page.
• generic web: Check response headers for the presence of Content Security Policy (CSP) directives that could mitigate XSS attacks.
disclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 3.4.1 de vue3-element-admin, donde se ha corregido el problema. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la validación y el saneamiento de todas las entradas de usuario en el archivo src/views/system/notice/index.vue, así como la implementación de una política de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente y realizando pruebas de seguridad.
Actualice vue3-element-admin a una versión posterior a 3.4.0 para corregir la vulnerabilidad XSS. Si la actualización no es posible, revise y sanitice las entradas del usuario en el archivo src/views/system/notice/index.vue para prevenir la inyección de código malicioso. Considere implementar validación y codificación de salida para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15372 is a cross-site scripting (XSS) vulnerability affecting vue3-element-admin versions 3.0 through 3.4.0, allowing attackers to inject malicious scripts.
You are affected if you are using vue3-element-admin versions 3.0, 3.1, 3.2, 3.3, or 3.4.0. Upgrade to 3.4.1 or later to resolve the issue.
Upgrade to version 3.4.1 or later of vue3-element-admin. Consider input validation and output encoding as a temporary workaround.
A public exploit exists, indicating a potential for active exploitation. Monitor your systems closely and apply the fix promptly.
Check the vue3-element-admin GitHub repository and release notes for the advisory and update instructions.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.