Plataforma
other
Componente
wangmarket
Corregido en
4.0.1
4.1.1
4.2.1
4.3.1
4.4.1
4.5.1
4.6.1
4.7.1
4.8.1
4.9.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en wangmarket, afectando a las versiones desde la 4.0 hasta la 4.9. Esta falla reside en la funcionalidad del archivo /admin/system/variableSave.do dentro de la página de Variables del Sistema. La manipulación del argumento 'Description' permite la inyección de código malicioso.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts arbitrarios en el contexto del usuario autenticado en la aplicación wangmarket. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación de contenido web o incluso el acceso no autorizado a funcionalidades administrativas. La disponibilidad de un Proof of Concept (PoC) público aumenta significativamente el riesgo de explotación, ya que facilita la tarea a los atacantes.
El PoC público indica una alta probabilidad de explotación. La falta de respuesta por parte del proveedor aumenta la preocupación. La vulnerabilidad fue publicada el 2026-01-05. Se recomienda monitorear activamente los sistemas afectados.
Organizations utilizing wangmarket versions 4.0 through 4.9, particularly those with publicly accessible administrative interfaces, are at significant risk. Shared hosting environments where multiple users share the same instance of wangmarket are also vulnerable, as an attacker could potentially compromise other users' accounts.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida de wangmarket. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el argumento 'Description'. Además, se puede considerar la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts permitidas, limitando así el impacto potencial de un ataque XSS. Se recomienda monitorear los registros de la aplicación en busca de patrones sospechosos.
Actualizar wangmarket a una versión posterior a la 4.9. Si no hay actualizaciones disponibles, se recomienda deshabilitar o eliminar la funcionalidad vulnerable (System Variables Page) o aplicar un parche proporcionado por el proveedor, si existe. Como el proveedor no respondió, se recomienda buscar soluciones alternativas en foros de la comunidad o considerar migrar a una plataforma más segura.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15451 is a cross-site scripting (XSS) vulnerability in wangmarket versions 4.0 through 4.9, allowing attackers to inject malicious scripts.
You are affected if you are running wangmarket versions 4.0 to 4.9 and have not implemented mitigating controls.
A vendor patch is not currently available. Mitigate by implementing input validation, WAF rules, and restricting access to the administrative interface.
A public proof-of-concept exists, suggesting a high probability of active exploitation.
The vendor has not yet released an advisory for this vulnerability. Monitor the wangmarket website and security mailing lists for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.