Plataforma
other
Componente
security
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en starsea-mall, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'redirectUrl' en el archivo /admin/carousels/save. La vulnerabilidad ha sido divulgada públicamente y puede ser explotada de forma remota. La versión 1.0.1 ya ha sido publicada para solucionar este problema.
La vulnerabilidad XSS en starsea-mall permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios de administrador. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control completo de la cuenta de administrador. Un atacante podría, por ejemplo, inyectar un script que envíe información confidencial a un servidor externo. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y confidencialidad de los datos almacenados en la aplicación.
La vulnerabilidad CVE-2025-2085 fue divulgada públicamente el 7 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. Existe un Proof of Concept (PoC) disponible públicamente, lo que facilita la explotación de la vulnerabilidad por parte de atacantes con conocimientos técnicos.
Administrators and users of starsea-mall version 1.0 are at risk. Shared hosting environments utilizing starsea-mall are particularly vulnerable, as a compromised account on one site could potentially impact other sites hosted on the same server.
disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2085 es actualizar starsea-mall a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario, especialmente el parámetro 'redirectUrl'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro 'redirectUrl'. Verificar que la actualización se haya aplicado correctamente revisando la versión instalada de starsea-mall.
Actualizar a una versión parcheada de starsea-mall que solucione la vulnerabilidad XSS. Si no hay una versión disponible, se recomienda sanitizar las entradas del parámetro redirectUrl para evitar la inyección de código malicioso. Como medida temporal, se puede implementar una política de seguridad de contenido (CSP) para mitigar el riesgo de ejecución de scripts no autorizados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2085 is a cross-site scripting (XSS) vulnerability in starsea-mall versions 1.0–1.0, allowing attackers to inject malicious scripts via the redirectUrl parameter.
You are affected if you are using starsea-mall version 1.0. Upgrade to 1.0.1 or later to mitigate the risk.
Upgrade starsea-mall to version 1.0.1 or later. Implement input validation and sanitization as a temporary workaround if upgrading is not immediately possible.
While no active campaigns are currently confirmed, the public disclosure increases the risk of future exploitation.
Refer to the starsea-mall project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.