Plataforma
php
Componente
nameless
Corregido en
2.2.5
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en NamelessMC, un software gratuito para la gestión de servidores Minecraft. Esta vulnerabilidad permite a atacantes autenticados inyectar código JavaScript malicioso en las páginas web del panel de administración. Las versiones afectadas son aquellas anteriores a la 2.2.3. La vulnerabilidad ha sido corregida en la versión 2.2.4.
Un atacante autenticado, con acceso al panel de administración de NamelessMC, puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador de la víctima. El impacto es significativo, ya que un atacante podría comprometer la seguridad de todo el servidor Minecraft y obtener acceso a información sensible de los usuarios. La inyección de scripts podría también ser utilizada para realizar ataques de phishing dirigidos a los administradores del servidor.
Esta vulnerabilidad fue publicada el 18 de agosto de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza de XSS la convierte en un objetivo atractivo para atacantes. La alta puntuación CVSS (9.1) indica un riesgo crítico. Se recomienda monitorear los sistemas NamelessMC para detectar cualquier actividad sospechosa.
Minecraft server administrators using NamelessMC versions prior to 2.2.4 are at direct risk. Shared hosting environments where multiple Minecraft servers share the same NamelessMC installation are particularly vulnerable, as a compromise of one server could potentially lead to the compromise of others. Users who have not implemented robust password policies or multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r "<script>" /var/www/namelessmc/cache/*
grep -r "<img src="javascript:" /var/www/namelessmc/cache/*• generic web:
curl -I https://your-namelessmc-site.com/dashboard/ | grep -i 'content-security-policy'disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar NamelessMC a la versión 2.2.4 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente el código ingresado en el editor de texto del panel de administración para detectar y eliminar cualquier código sospechoso. Implementar una Web Application Firewall (WAF) con reglas para filtrar scripts XSS puede proporcionar una capa adicional de protección. Además, se recomienda deshabilitar temporalmente el editor de texto del panel de administración hasta que se pueda realizar la actualización.
Actualice NamelessMC a la versión 2.2.4 o superior. Esta versión contiene una corrección para la vulnerabilidad (XSS). La actualización se puede realizar a través del panel de administración o descargando la última versión del software.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54117 is a critical Cross-Site Scripting (XSS) vulnerability affecting NamelessMC versions before 2.2.4. It allows attackers to inject malicious scripts into the dashboard.
You are affected if you are using NamelessMC version 2.2.4 or earlier. Check your version and upgrade immediately.
Upgrade NamelessMC to version 2.2.4 or later. If immediate upgrade is not possible, implement input validation and output encoding in the dashboard text editor.
While no public exploits are currently known, the high severity and ease of exploitation suggest a potential for active exploitation.
Refer to the official NamelessMC website and security announcements for the latest information and advisory regarding CVE-2025-54117.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.