Plataforma
other
Componente
wangmarket
Corregido en
4.0.1
4.1.1
4.2.1
4.3.1
4.4.1
4.5.1
4.6.1
4.7.1
4.8.1
4.9.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en wangmarket, afectando a las versiones desde 4.0 hasta 4.9. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento Description en el archivo /admin/system/variableList.do. La explotación es posible de forma remota y un proof-of-concept (PoC) ya está disponible públicamente, lo que aumenta el riesgo de ataques.
La vulnerabilidad XSS en wangmarket permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario autenticado. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría comprometer cuentas de administrador, obtener acceso a información confidencial, o incluso tomar el control de la aplicación. La disponibilidad pública del PoC facilita la explotación por parte de actores maliciosos con diferentes niveles de habilidad.
Esta vulnerabilidad ha sido divulgada públicamente y un PoC está disponible, lo que indica una alta probabilidad de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad y la integridad de los datos hacen que sea una preocupación significativa. La falta de respuesta por parte del proveedor dificulta la obtención de una solución oficial y subraya la importancia de implementar medidas de mitigación inmediatas.
Administrators and users with access to the /admin/system/variableList.do interface are at direct risk. Organizations deploying xnx3 wangmarket in production environments, particularly those without robust input validation and output encoding practices, are highly vulnerable. Shared hosting environments where multiple users share the same instance of the software are also at increased risk.
• generic web: Use curl to test the /admin/system/variableList.do endpoint with a malicious payload in the Description parameter. Examine the response for signs of script execution.
curl 'http://<target>/admin/system/variableList.do?Description=<script>alert("XSS")</script>' -s• generic web: Review access logs for requests to /admin/system/variableList.do containing unusual or suspicious characters in the Description parameter.
• generic web: Check response headers for unexpected content or behavior that might indicate XSS activity.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-15452 implica la validación y el saneamiento riguroso de todas las entradas de usuario, especialmente el argumento Description en el archivo /admin/system/variableList.do. Implementar una Web Application Firewall (WAF) con reglas que detecten y bloqueen intentos de inyección de scripts también es crucial. Además, se recomienda revisar y actualizar las políticas de seguridad de la aplicación para prevenir futuras vulnerabilidades XSS. Tras implementar estas medidas, verificar la mitigación intentando inyectar código JavaScript en el argumento Description y confirmando que se bloquea o se escapa correctamente.
Actualice wangmarket a una versión posterior a la 4.9. Si no es posible actualizar, revise y filtre las entradas del campo 'Description' en la función variableList.do para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15452 is a cross-site scripting (XSS) vulnerability affecting xnx3 wangmarket versions 4.0 through 4.9, allowing attackers to inject malicious scripts.
If you are running xnx3 wangmarket versions 4.0 to 4.9, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of xnx3 wangmarket. If upgrading is not immediately possible, implement input validation and output encoding.
While active exploitation campaigns have not been widely reported, a public exploit exists, increasing the risk of attack.
Due to the vendor's lack of response, a direct advisory may not be available. Monitor security news sources and vulnerability databases for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.