Plataforma
php
Componente
xunruicms
Corregido en
4.6.1
4.6.2
4.6.3
4.6.4
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en XunRuiCMS, afectando a las versiones desde 4.6.0 hasta 4.6.3. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el manejo del parámetro 'Website Address' dentro del componente de Enlaces Amigables. La versión 4.6.4 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts puede ser utilizada para realizar ataques de phishing dirigidos a usuarios específicos o para comprometer la seguridad de la aplicación XunRuiCMS en sí misma. La naturaleza pública de la explotación aumenta significativamente el riesgo de ataques.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha reportado su inclusión en el KEV de CISA, pero la disponibilidad de una prueba de concepto pública facilita su explotación por parte de atacantes con diferentes niveles de habilidad. La vulnerabilidad fue publicada el 9 de marzo de 2025.
Websites and applications utilizing XunRuiCMS versions 4.6.0 through 4.6.3 are at risk. This includes organizations relying on XunRuiCMS for content management, e-commerce, or other web-based services. Shared hosting environments using XunRuiCMS are particularly vulnerable, as a compromise of one site can potentially affect others on the same server.
• wordpress / composer / npm:
grep -r 'Website Address' /var/www/html/cms/application/plugins/friendlylinks/• generic web:
curl -I http://your-xunruicms-site.com/index.php?m=friendlylinks&a=add&website_address=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar XunRuiCMS a la versión 4.6.4, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el parámetro 'Website Address'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a intentos de explotación.
Actualice XunRuiCMS a una versión posterior a 4.6.3 para corregir la vulnerabilidad XSS. Si no es posible actualizar, revise y filtre cuidadosamente las entradas del usuario en el componente Friendly Links Handler, especialmente el campo Dirección del sitio web, para evitar la inyección de código malicioso. Considere deshabilitar temporalmente la funcionalidad de Friendly Links hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2131 is a cross-site scripting (XSS) vulnerability affecting XunRuiCMS versions 4.6.0–4.6.3, allowing attackers to inject malicious scripts.
You are affected if you are using XunRuiCMS versions 4.6.0 through 4.6.3. Upgrade to 4.6.4 or later to mitigate the risk.
Upgrade XunRuiCMS to version 4.6.4 or later. Implement input validation and consider using a WAF as temporary mitigation.
While no active campaigns are confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to the XunRuiCMS official website or security advisories for the latest information and updates regarding CVE-2025-2131.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.