Plataforma
other
Componente
starsea-mall
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en starsea-mall, específicamente en las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /admin/indexConfigs/update y se explota manipulando el argumento redirectUrl. Una versión corregida, 1.0.1, ya está disponible.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y, en última instancia, el acceso no autorizado a cuentas de usuario. El impacto se amplifica si la aplicación se utiliza para procesar información sensible o si los usuarios tienen privilegios administrativos. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de un administrador al iniciar sesión, permitiéndole tomar el control total de la aplicación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La puntuación CVSS de 3.5 (LOW) indica que, aunque la vulnerabilidad es explotable, requiere una interacción del usuario o condiciones específicas para ser exitosa. No se han reportado campañas de explotación activas conocidas, pero la disponibilidad de la divulgación pública significa que los atacantes podrían desarrollar exploits para automatizar la explotación. La vulnerabilidad fue publicada el 2025-03-07.
Starsea-mall deployments, particularly those running version 1.0, are at risk. Shared hosting environments where multiple users share the same instance of starsea-mall are especially vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar starsea-mall a la versión 1.0.1 o superior, que incluye la corrección para la inyección XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el argumento redirectUrl. Además, se pueden utilizar firewalls de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. La configuración de políticas de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo al restringir las fuentes de scripts que se pueden ejecutar en la página web.
Actualice starsea-mall a una versión parcheada que solucione la vulnerabilidad XSS. Consulte las notas de la versión o el sitio web del proveedor para obtener más información sobre la actualización. Como medida temporal, filtre o escape las entradas del usuario en el parámetro redirectUrl para evitar la inyección de scripts.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2086 is a cross-site scripting (XSS) vulnerability in starsea-mall versions 1.0–1.0, allowing attackers to inject malicious scripts via the redirectUrl parameter.
You are affected if you are running starsea-mall version 1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
Upgrade starsea-mall to version 1.0.1 or later. Implement input validation and sanitization on the redirectUrl parameter as a temporary workaround.
No active campaigns targeting this specific vulnerability have been confirmed, but the public disclosure increases the risk of opportunistic attacks.
Refer to the starsea-mall project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.