Plataforma
javascript
Componente
stage-ui
Corregido en
0.7.3
La vulnerabilidad CVE-2025-59053 es una falla de Cross-Site Scripting (XSS) detectada en AIRI Stage UI, una interfaz de usuario para el Grok Companion basado en inteligencia artificial. Esta falla permite a un atacante inyectar código JavaScript malicioso en la aplicación, comprometiendo la seguridad de los usuarios. Afecta a las versiones 0.7.2-beta.2 y se ha solucionado en la versión 0.7.2-beta.3.
Un atacante puede explotar esta vulnerabilidad creando un archivo Markdown que contenga código HTML/JavaScript malicioso. Al procesar este archivo a través de la función highlightTagToHtml (que no escapa correctamente el HTML), el código malicioso se inyecta directamente en el DOM de la página web a través de v-html. Esto permite al atacante ejecutar scripts arbitrarios en el contexto del usuario, lo que podría resultar en el robo de credenciales, la manipulación de datos o la redirección a sitios web maliciosos. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad e integridad de la información.
La vulnerabilidad CVE-2025-59053 fue publicada el 11 de septiembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSS la hace susceptible a explotación. Se recomienda monitorear activamente los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Self-hosted AIRI deployments running versions 0.7.2-beta.2 or earlier are at immediate risk. Users who process card files from untrusted sources are particularly vulnerable. Shared hosting environments where multiple users share the same AIRI instance could experience widespread impact if one user is compromised.
• javascript / web: Examine card files for suspicious HTML or JavaScript code. Use browser developer tools to inspect the DOM for unexpected script tags or event handlers. • javascript / web: Monitor network traffic for requests containing unusual parameters or payloads. • javascript / web: Review AIRI Stage UI logs for errors or anomalies related to Markdown processing. • javascript / web: Use a static code analysis tool to scan the codebase for potential XSS vulnerabilities.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AIRI Stage UI a la versión 0.7.2-beta.3, que incluye la corrección para la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de Markdown antes de renderizarlas. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de código HTML/JavaScript. Monitorear los logs de la aplicación en busca de intentos de inyección de código también puede ayudar a detectar y prevenir ataques.
Actualice AIRI a la versión 0.7.2-beta.3 o posterior. Esta versión corrige la vulnerabilidad XSS y la posibilidad de ejecución remota de código. La actualización mitiga el riesgo de que un atacante ejecute código malicioso en su sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59053 is a critical XSS vulnerability in AIRI Stage UI versions 0.7.2-beta.2 and prior, allowing attackers to inject malicious code via card files.
You are affected if you are running AIRI Stage UI version 0.7.2-beta.2 or earlier and process card files from untrusted sources.
Upgrade to version 0.7.2-beta.3 or later to resolve the vulnerability. Consider input validation and WAF rules as temporary mitigations.
No active exploitation campaigns have been reported, but the vulnerability's nature makes exploitation likely.
Refer to the official AIRI project documentation and security advisories for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.