Plataforma
java
Componente
javasec
Corregido en
3.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en springboot-manager, específicamente en la versión 3.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'name' en el archivo /sys/dept. La explotación exitosa puede llevar a la ejecución de código arbitrario en el navegador de un usuario. La vulnerabilidad ha sido divulgada públicamente y se recomienda actualizar a la versión 3.0.1 para mitigar el riesgo.
La vulnerabilidad XSS en springboot-manager 3.0 permite a un atacante inyectar código JavaScript malicioso en las páginas web de la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información confidencial o para comprometer la integridad de la aplicación. La manipulación del argumento 'name' en /sys/dept es el vector de ataque principal, pero otros parámetros podrían ser susceptibles a la inyección de scripts.
Esta vulnerabilidad ha sido divulgada públicamente el 11 de marzo de 2025. Aunque la puntuación CVSS es baja (2.4), la naturaleza de la vulnerabilidad XSS significa que puede ser explotada fácilmente. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de explotación. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
Organizations utilizing aitangbao springboot-manager version 3.0, particularly those with publicly accessible instances of the /sys/dept endpoint, are at risk. Shared hosting environments where multiple users share the same application instance are especially vulnerable.
• java / server:
ps aux | grep springboot-manager• java / server:
journalctl -u springboot-manager -f | grep "XSS"• generic web:
curl -I http://your-springboot-manager-url/sys/dept?name=<script>alert(1)</script>• generic web:
grep -r "<script>alert(1)</script>" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2207 es actualizar springboot-manager a la versión 3.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /sys/dept. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. La implementación de una política de seguridad de contenido (CSP) también puede ayudar a mitigar el impacto de una explotación exitosa.
Actualizar a una versión parcheada de springboot-manager que solucione la vulnerabilidad de Cross-Site Scripting (XSS). Si no hay una versión disponible, se recomienda validar y limpiar las entradas del usuario en el parámetro 'name' del endpoint /sys/dept para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2207 is a cross-site scripting (XSS) vulnerability in aitangbao springboot-manager version 3.0, allowing attackers to inject malicious scripts via the /sys/dept endpoint.
You are affected if you are running aitangbao springboot-manager version 3.0 and the /sys/dept endpoint is accessible. Upgrade to 3.0.1 to mitigate the risk.
Upgrade to version 3.0.1 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
While publicly disclosed, there's no confirmed active exploitation as of the publication date. However, the availability of a proof-of-concept increases the risk.
Due to the vendor's lack of response, a formal advisory may not be available. Monitor security news sources and community forums for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.