Plataforma
vue
Componente
vulnerabilities
Corregido en
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
2.0.6
2.0.7
2.0.8
2.0.9
2.0.10
2.0.11
2.0.12
2.0.13
2.0.14
2.0.15
2.0.16
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en FFmate, afectando a las versiones desde 2.0.0 hasta 2.0.15. Esta vulnerabilidad reside en el archivo /ui/app/components/AppJsonTreeView.vue, específicamente en el componente Webhook Handler. La explotación exitosa podría permitir a un atacante ejecutar código malicioso en el contexto del usuario, comprometiendo la integridad y confidencialidad de la aplicación.
Un atacante podría aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en las páginas web de FFmate. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts podría ser utilizada para obtener acceso no autorizado a cuentas de usuario o para realizar acciones en nombre del usuario afectado. La naturaleza remota de la explotación amplía el potencial de impacto, ya que un atacante podría lanzar ataques desde cualquier ubicación con acceso a la aplicación web.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La falta de respuesta por parte del proveedor es preocupante y sugiere que una solución podría no estar disponible de inmediato. Se recomienda monitorear activamente la situación y tomar medidas preventivas hasta que se publique una actualización oficial. La divulgación pública y la baja severidad (CVSS 3.5) sugieren que podría haber pruebas de concepto disponibles y potencialmente ser explotada en campañas dirigidas.
Organizations and individuals using FFmate versions 2.0.0 through 2.0.15 are at risk. This includes media processing workflows, automated video pipelines, and any systems relying on FFmate's webhook functionality. Shared hosting environments where FFmate is deployed could be particularly vulnerable, as a compromised webhook could impact multiple users.
• vue / component: Inspect the AppJsonTreeView.vue component for suspicious JavaScript code or unusual DOM manipulation patterns. Use browser developer tools to monitor network requests and identify any unexpected script injections. • generic web: Monitor access logs for requests containing unusual characters or patterns that could indicate an XSS attempt. Look for POST requests to the Webhook Handler endpoint with potentially malicious payloads. • generic web: Use a web application firewall (WAF) to filter out requests containing known XSS attack patterns. Configure the WAF to block requests with suspicious characters or payloads.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar FFmate a una versión corregida que solucione esta vulnerabilidad. Dado que no se proporciona una versión específica, se recomienda contactar al proveedor para obtener información sobre la versión corregida más reciente. Como medida temporal, se puede implementar un filtro de entrada para sanitizar los datos que se muestran en la página web, aunque esto no es una solución completa. Monitorear los registros de la aplicación en busca de patrones de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar FFmate a una versión posterior a la 2.0.15 que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el componente AppJsonTreeView.vue. Consultar las notas de la versión para confirmar que la vulnerabilidad ha sido abordada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5254 is a cross-site scripting vulnerability affecting FFmate versions 2.0.0–2.0.15. It allows attackers to inject malicious scripts via the Webhook Handler, potentially leading to session hijacking or data theft.
If you are using FFmate versions 2.0.0 through 2.0.15, you are potentially affected by this vulnerability. Assess your usage of the Webhook Handler and prioritize upgrading.
Upgrade FFmate to a patched version. If upgrading is not immediately possible, implement input sanitization and output encoding techniques within the Webhook Handler.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems for suspicious activity and implement mitigations.
Refer to the FFmate project's official website or security advisories for the latest information and updates regarding CVE-2026-5254.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.