Plataforma
other
Componente
starsea-mall
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en starsea-mall, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'goodsName' en el archivo /admin/goods/update. La vulnerabilidad afecta a versiones 1.0 y 1.0, y se recomienda actualizar a la versión 1.0.1 para solucionar el problema.
La vulnerabilidad XSS en starsea-mall permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a la funcionalidad administrativa de la aplicación, comprometiendo la integridad y confidencialidad de los datos. La explotación exitosa requiere que un usuario interactúe con el contenido malicioso, como hacer clic en un enlace o visitar una página web manipulada.
Esta vulnerabilidad ha sido divulgada públicamente. La probabilidad de explotación es considerada baja según el CVSS score de 3.5. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad fue publicada el 2025-03-07.
Administrators of StarSea Mall installations running versions 1.0–1.0 are at direct risk. Shared hosting environments utilizing StarSea Mall are also vulnerable, as a compromised account on one site could potentially impact others on the same server.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2087 es actualizar starsea-mall a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/goods/update. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. La implementación de políticas de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo de XSS.
Actualizar a una versión parcheada que corrija la vulnerabilidad XSS. Si no hay una versión disponible, sanitizar la entrada 'goodsName' para evitar la inyección de código malicioso. Implementar validación y codificación de datos en el lado del servidor para prevenir futuros ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2087 is a cross-site scripting (XSS) vulnerability in StarSea Mall versions 1.0–1.0, allowing attackers to inject malicious scripts via the /admin/goods/update endpoint.
You are affected if you are running StarSea Mall version 1.0–1.0. Upgrade to version 1.0.1 or later to resolve the vulnerability.
Upgrade StarSea Mall to version 1.0.1 or later. As a temporary workaround, implement input validation and sanitization on the goodsName parameter.
While no active exploitation campaigns are currently confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the StarSea Mall official website or security advisories for the latest information and updates regarding CVE-2025-2087.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.