Plataforma
other
Componente
scale
Corregido en
3633544.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el producto scale de pankajindevops. Esta problemática permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'goal' en el archivo /scale/project. Debido al modelo de entrega continua con actualizaciones continuas, no se proporcionan detalles de versiones específicas afectadas ni versiones actualizadas. Se recomienda actualizar a la versión 3633544.0.1.
La vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El atacante podría obtener acceso a información confidencial o realizar acciones en nombre del usuario afectado. Dada la naturaleza de XSS, el impacto puede variar desde la simple defacement del sitio web hasta el compromiso completo de la cuenta del usuario.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado una puntuación EPSS, pero la divulgación pública sugiere una probabilidad de explotación moderada. No se han identificado campañas activas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad podría facilitar su explotación por parte de actores maliciosos. La vulnerabilidad fue publicada el 2025-02-22.
Organizations utilizing pankajindevops scale, particularly those with publicly accessible instances or those relying on the application for sensitive data processing, are at risk. Users with administrative privileges within the scale application are especially vulnerable, as they may be targeted to gain broader system access.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 3633544.0.1 del producto scale. Dado que el producto utiliza un modelo de entrega continua, es crucial monitorear las actualizaciones y aplicarlas lo antes posible. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar solicitudes maliciosas que contengan código JavaScript sospechoso. Además, se recomienda validar y sanear todas las entradas de usuario para prevenir la inyección de código. Después de la actualización, confirme la mitigación revisando los logs del servidor en busca de intentos de inyección de XSS.
Debido a que no hay una versión fija disponible, se recomienda contactar al proveedor para obtener un parche o una versión actualizada que corrija la vulnerabilidad XSS. Como medida temporal, valide y escape las entradas del usuario en el parámetro 'goal' del archivo /scale/project para prevenir la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1553 is a cross-site scripting (XSS) vulnerability in pankajindevops scale, allowing attackers to inject malicious scripts. It affects versions up to 3633544a00245d3df88b6d13d9b3dd0f411be7f6.
If you are using pankajindevops scale versions prior to 3633544.0.1, you are potentially affected by this XSS vulnerability.
Upgrade to version 3633544.0.1 or later to address the vulnerability. Regularly check for updates due to the continuous delivery model.
The exploit is publicly available, so active exploitation is possible. Monitor your systems for suspicious activity.
Refer to the pankajindevops scale release notes and security advisories for details on this vulnerability and the corresponding fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.