Plataforma
php
Componente
vulnerability-research
Corregido en
4.1.4
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Dreamer CMS, afectando a las versiones 4.1.3. Esta falla permite a un atacante inyectar scripts maliciosos en el sitio web, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad reside en el archivo /admin/archives/edit y se explota manipulando el parámetro editorValue/answer/content. Se recomienda actualizar a la versión 4.1.4 para solucionar este problema.
La vulnerabilidad XSS en Dreamer CMS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de administración al momento de iniciar sesión, otorgándole control total sobre el sitio web. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la reputación y la confianza del usuario.
Esta vulnerabilidad ha sido divulgada públicamente y podría ser explotada. Aunque la severidad CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios la convierten en una preocupación. No se ha confirmado explotación activa a la fecha de publicación, pero la disponibilidad de la divulgación pública aumenta el riesgo. La falta de respuesta del proveedor dificulta la evaluación de la situación.
Administrators and users with access to the Dreamer CMS admin panel are at the highest risk. Shared hosting environments using Dreamer CMS are also vulnerable, as a compromised website on one account could potentially impact other accounts on the same server. Users relying on Dreamer CMS for sensitive data management are particularly vulnerable to data theft.
• php: Examine the /admin/archives/edit file for unsanitized input handling of the editorValue/answer/content parameter. Search for instances where user-supplied data is directly outputted to the HTML without proper encoding.
// Example of vulnerable code (simplified)
<?php
echo $_GET['editorValue/answer/content']; ?>• generic web: Monitor access logs for requests to /admin/archives/edit with unusual or suspicious parameters in the editorValue/answer/content field. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep 'editorValue/answer/content=[^a-zA-Z0-9 ]' access.logdisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1548 es actualizar Dreamer CMS a la versión 4.1.4, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/archives/edit. Además, se recomienda implementar una Web Application Firewall (WAF) con reglas que bloqueen la inyección de scripts maliciosos. Verifique después de la actualización que la vulnerabilidad ya no esté presente revisando el archivo /admin/archives/edit y asegurándose de que los parámetros de entrada se validen correctamente.
Actualice Dreamer CMS a una versión posterior a la 4.1.3, si existe, que corrija la vulnerabilidad XSS (Cross Site Scripting). Si no hay una versión disponible, considere deshabilitar o eliminar el CMS hasta que se publique una solución. Como medida temporal, puede implementar reglas de filtrado de entrada en el servidor web para bloquear patrones de ataque XSS (Cross Site Scripting) comunes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1548 is a cross-site scripting vulnerability in Dreamer CMS versions 4.1.3–4.1.3, allowing attackers to inject malicious scripts via the /admin/archives/edit endpoint.
You are affected if you are running Dreamer CMS version 4.1.3. Upgrade to 4.1.4 to mitigate the risk.
Upgrade Dreamer CMS to version 4.1.4 or later. Implement input validation and sanitization as a temporary workaround.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems for suspicious activity.
Refer to the Dreamer CMS website or official communication channels for the advisory regarding CVE-2025-1548.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.