Plataforma
other
Componente
starsea-mall
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en StarSea-mall Backend, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento categoryName en el archivo /admin/indexConfigs/save. La explotación de esta vulnerabilidad puede resultar en la ejecución de código arbitrario en el contexto del usuario, comprometiendo la confidencialidad e integridad de la aplicación. La versión 1.0.1 ya ha sido publicada para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en la página web de StarSea-mall Backend. Este código podría ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la aplicación. El impacto se amplifica si la aplicación se utiliza para procesar información sensible, ya que un atacante podría acceder a datos confidenciales o realizar acciones en nombre de un usuario legítimo. La falta de versionado en el producto dificulta la identificación precisa de las versiones afectadas, lo que aumenta el riesgo de exposición.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y el potencial impacto hacen que sea importante abordar esta vulnerabilidad de manera proactiva. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública facilita su uso por parte de atacantes. La vulnerabilidad fue reportada al proveedor el 16 de marzo de 2025.
Organizations utilizing StarSea-Mall Backend in their deployments, particularly those with administrative access exposed through the /admin/indexConfigs/save endpoint, are at risk. Shared hosting environments where multiple users share the same StarSea-Mall Backend instance are also potentially vulnerable.
disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar StarSea-mall Backend a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/indexConfigs/save. Además, se puede considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. La monitorización de los registros de acceso y error también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código JavaScript no deseado. Validar y limpiar las entradas del usuario, especialmente el parámetro categoryName, para eliminar cualquier código malicioso antes de guardarlo en la base de datos o mostrarlo en la interfaz.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2352 is a cross-site scripting vulnerability in StarSea-Mall Backend versions 1.0–1.0, allowing attackers to inject malicious scripts via the /admin/indexConfigs/save endpoint.
If you are using StarSea-Mall Backend version 1.0–1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade StarSea-Mall Backend to version 1.0.1. As an interim measure, implement input validation and sanitization on the categoryName parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Contact StarSea99 directly for the official advisory regarding CVE-2025-2352.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.