Plataforma
nodejs
Componente
smartbanner.js
Corregido en
1.14.2
1.14.1
La vulnerabilidad CVE-2025-25300 afecta a la biblioteca JavaScript smartbanner.js. Al hacer clic en el enlace 'Ver' proporcionado por smartbanner y navegar a un sitio web de terceros, se expone window.opener, permitiendo a atacantes potencialmente abusar de esta propiedad. La vulnerabilidad se encuentra presente en versiones anteriores a v1.14.1 y se recomienda actualizar para mitigar el riesgo.
Esta vulnerabilidad permite a sitios web maliciosos explotar la propiedad window.opener en la página original que utiliza smartbanner.js. Un atacante podría redirigir al usuario a un sitio web controlado por él, o inyectar código malicioso en la página original, comprometiendo la seguridad del usuario y la integridad de la aplicación. El impacto se agrava si la aplicación utiliza smartbanner para dirigir a los usuarios a tiendas de aplicaciones, ya que un atacante podría suplantar la tienda o realizar acciones no autorizadas en nombre del usuario.
Esta vulnerabilidad no se encuentra en el catálogo KEV de CISA. La probabilidad de explotación es considerada baja debido a la necesidad de un atacante para controlar el sitio web al que se dirige el usuario a través del enlace 'Ver'. No se han reportado campañas de explotación activas conocidas. La vulnerabilidad fue publicada el 13 de septiembre de 2019.
Applications and websites that utilize the smartbanner.js library to provide links to app stores or other third-party resources are at risk. This includes mobile app promotion websites, landing pages, and any application that integrates smartbanner.js for user acquisition or referral purposes. Legacy applications using older versions of the library are particularly vulnerable.
• nodejs: Inspect application code for usage of smartbanner.js and check the version being used.
npm list smartbanner.js• generic web: Examine the generated HTML source code of pages using smartbanner.js to verify the presence of rel="noopener" on the 'View' link.
curl 'https://example.com/page-with-smartbanner' | grep 'rel="noopener"'disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
La solución principal es actualizar smartbanner.js a la versión v1.14.1 o superior, donde se ha implementado automáticamente el atributo rel="noopener" en los enlaces. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación como restringir los destinos de los enlaces 'Ver' a dominios de confianza (App Store y Google Play Store) y aplicar políticas de seguridad de contenido (CSP) para limitar las acciones que pueden realizar los scripts de terceros. Después de la actualización, verifique que los enlaces 'Ver' incluyan el atributo rel="noopener" para confirmar la mitigación.
Actualice la biblioteca smartbanner.js a la versión 1.14.1 o superior. Si no puede actualizar, asegúrese de que el enlace 'View' solo dirija a App Store o Google Play Store. Para versiones anteriores a Safari 12.1, considere limitar el uso de smartbanner.js en iOS si el enlace 'View' dirige a una página de terceros.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25300 is a LOW severity vulnerability in smartbanner.js where clicking the 'View' link exposes window.opener, potentially allowing redirection or injection attacks.
You are affected if you are using smartbanner.js versions prior to 1.14.1 and the 'View' link leads to third-party websites.
Upgrade to smartbanner.js version 1.14.1 or later, which automatically includes the rel="noopener" attribute. Alternatively, ensure the 'View' link only leads to trusted app stores.
Currently, there are no confirmed reports of CVE-2025-25300 being actively exploited, but the potential for abuse exists.
Refer to the official smartbanner.js documentation and related security advisories for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.