Plataforma
go
Componente
github.com/beego/beego
Corrigido em
2.3.7
2.3.6
O CVE-2025-30223 é uma vulnerabilidade de Cross-Site Scripting (XSS) encontrada na biblioteca beego/beego, especificamente na função RenderForm(). Essa falha permite que atacantes injetem scripts maliciosos em páginas web, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade afeta versões anteriores a 2.3.6 e pode ser mitigada atualizando para a versão corrigida ou implementando medidas de escape de entrada.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos em páginas web renderizadas pelo beego/beego. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de código arbitrário no navegador da vítima. O impacto é significativo, pois pode comprometer a confidencialidade, integridade e disponibilidade de dados sensíveis. A exploração bem-sucedida pode resultar em phishing, defacement de sites e comprometimento de contas de usuários.
A vulnerabilidade foi publicada em 01 de abril de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. É crucial monitorar a comunidade de segurança para atualizações sobre a exploração desta vulnerabilidade.
Applications built using the Beego Go web framework, particularly those that heavily rely on user-submitted data within forms, are at significant risk. Projects using older versions of Beego (prior to 2.3.6) and lacking robust input validation mechanisms are especially vulnerable. Shared hosting environments where multiple applications share the same Beego installation are also at increased risk.
• go / application: Examine application code for usage of github.com/beego/beego and specifically the RenderForm() function. Look for instances where user input is directly passed to this function without proper sanitization.
• go / application: Use static analysis tools to identify potential XSS vulnerabilities in Go code that utilizes Beego.
• generic web: Monitor web application logs for unusual JavaScript execution patterns or attempts to inject malicious scripts.
• generic web: Implement a WAF rule to block requests containing suspicious JavaScript payloads targeting form fields.
disclosure
Status do Exploit
EPSS
0.34% (percentil 56%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2025-30223 é atualizar a biblioteca beego/beego para a versão 2.3.6 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de escape de entrada rigorosas na função RenderForm() para garantir que todos os dados fornecidos pelo usuário sejam devidamente sanitizados antes de serem renderizados. Utilize bibliotecas de escape confiáveis e configure-as corretamente para evitar a injeção de scripts maliciosos. Verifique, após a atualização, se a função RenderForm() está processando corretamente os dados de entrada, sem permitir a execução de scripts.
Atualize a versão do Beego para 2.3.6 ou superior. Esta versão corrige a vulnerabilidade XSS na função RenderForm(). Certifique-se de revisar e adaptar qualquer código personalizado que utilize RenderForm() para garantir que os dados fornecidos pelo usuário sejam escapados corretamente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30223 is a critical XSS vulnerability in Beego versions prior to 2.3.6, allowing attackers to inject malicious scripts via unescaped user input in the RenderForm() function.
If you are using Beego version 2.3.5 or earlier, you are affected by this vulnerability. Assess your application's usage of RenderForm() and implement mitigations if immediate upgrade is not possible.
Upgrade to Beego version 2.3.6 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the Beego project's official website and GitHub repository for updates and security advisories related to CVE-2025-30223.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.